Bài viết này giải thích False Positive trong Bảo mật Ứng dụng Web là gì và tác động tiêu cực của chúng đối với các chuyên gia bảo mật web. Đồng thời, bài viết cũng giải thích tại sao các công cụ bảo mật web tự động phổ biến lại tạo ra các False Positive, mà công cụ Quét Bảo mật Ứng dụng Web của Netsparker thì hoàn toàn không.
Thuật ngữ “false positive” được hiểu như một báo động giả, giống như việc báo động nhà của bạn được kích hoạt mà lại không có một tên trộm nào cả. Trong bảo mật ứng dụng web, một False Positive được dùng khi khi một trình quét bảo mật ứng dụng web phát hiện một lỗ hổng trên trang web của bạn, chẳng hạn như SQL Injection, nhưng thực tế không hề có lỗi đó.
Các chuyên gia bảo mật web và kỹ sư kiểm thử (PenTester) sử dụng trình quét bảo mật ứng dụng web tự động để dễ dàng thực hiện quá trình kiểm thử thâm nhập (Penetration Testing), như là để đảm bảo tất cả tấn công bề mặt của ứng dụng web đều được kiểm tra nhanh chóng và đúng cách. Mặc dù vậy, các công cụ tự động cũng có thể gây ra một số vấn đề nhất định, như đã được giải thích ở trên.
Không đủ chi trả cho Bảo mật Ứng dụng Web do False Positives
Các trình quét bảo mật ứng dụng web được biết đến là đưa ra các false positive, do đó, quá trình PenTest ứng dụng web tiêu tốn thời gian đáng kể vì những PenTester phải xác minh tất cả các báo cáo lỗ hổng một cách thủ công bằng cách cố gắng khai thác chúng. Chính vì quá trình dài dòng này, nhiều doanh nghiệp không thể chi trả cho bảo mật ứng dụng web. Tuy nhiên, chi phí không phải là vấn đề duy nhất mà False Positive tạo ra.
Phớt lờ Lỗ hổng Bảo mật Web thực
Theo lẽ thường, chúng ta thường có xu hướng phớt lờ lỗi xác xác thực khá nhanh. Pentester cũng làm điều tương tự trong một lần thử nghiệm thâm nhập ứng dụng web. Ví dụ, một trình quét bảo mật ứng dụng web phát hiện 200 lỗ hổng cross-site scripting (XSS), nếu 20 biến thể đầu tiên là False Positive, Pentester sẽ giả định rằng tất cả các biến thể khác cũng là False Positive và bỏ qua tất cả các biến thể còn lại. Như vậy, các lỗ hổng ứng dụng web thực có thể không bị phát hiện.
Pentester thiếu kiến thức, đồng nghĩa với rất nhiều False Positive trong Báo cáo Rò quét
Khi một PenTester phải xác minh thủ công các phát hiện của trình quét, kết quả kiểm tra này chỉ tương đương với mức độ kiến thức của người kiểm tra đó, chứ không phụ thuộc vào khả năng của trình quét bảo mật ứng dụng web. Mức độ kiến thức của người kiểm tra thường được đánh giá dựa trên số năm nghiên cứu chuyên sâu của chính họ. Như chúng ta đã thấy, vì những Pentesters không tin tưởng vào trình quét bảo mật ứng dụng web, nên họ xác minh mọi lỗ hổng web được báo cáo mà trình quét web phát hiện.
Nếu người dùng sử dụng trình quét bảo mật web không thể khai thác một lỗ hổng ứng dụng web cụ thể nào đó do thiếu kiến thức hoặc kinh nghiệm, thì lỗ hổng đó được coi là False Positive và sẽ không bao giờ được sửa chữa.
Trình quét Bảo mật Ứng dụng Web so với Pentester
Các chủ Doanh nghiệp và Giám đốc An ninh có thể đắn đo về lựa chọn tối ưu cho bảo mật ứng dụng web của họ, cụ thể là nên đầu tư vào một trình quét bảo mật ứng dụng web có thể được sử dụng bởi chính nhân viên của công ty, hay thuê một chuyên gia Pentester? Và nếu đầu tư vào một trình quét bảo mật ứng dụng web, liệu họ có nhân viên phù hợp để xác minh các kết quả đã được phát hiện không?
Đầu tiên, phải chỉ ra rằng trình quét bảo mật ứng dụng web không bao giờ có thể thay thế được chuyên gia Pentester, nhưng Pentester cũng không bao giờ có thể đạt được hiệu quả cao như các trình quét tự động. Trong một thử nghiệm thâm nhập trang web, cả phần mềm và yếu tố con người đều cần thiết. Thông qua tự động hóa và công nghệ hiện đại, chúng ta có thể tự động hóa nhiều hơn, từ đó con người cũng ít phải can thiệp vào quá trình PenTest hơn rất nhiều.
Công nghệ Quét dựa trên Bằng chứng (Proof-Based Scanning)
Giải pháp bảo mật ứng dụng web hiệu quả và tiết kiệm chi phí nhất là trình quét bảo mật ứng dụng web với công nghệ Proof-Based Scanning; trình quét này có thể tự động xác minh các phát hiện của mình bằng cách khai thác các lỗ hổng đã xác định và cung cấp cho người dùng bằng chứng khai thác. Việc có một trình quét như vậy đem lại lợi ích gấp nhiều lần; kiểm tra bảo mật sẽ tiêu tốn ít thời gian hơn nhiều và nhân viên không cần phải có nhiều năm kinh nghiệm hack để xác minh kết quả.
Netsparker là trình quét bảo mật ứng dụng web đầu tiên trên thị trường có công cụ khai thác như vậy. Ngoài ra, việc khai thác rất an toàn và ở chế độ chỉ được phép đọc, nên không có khả năng làm hỏng dữ liệu hoặc làm gián đoạn dịch vụ trang web. Với loại công nghệ tự động và tự khám phá này, các doanh nghiệp có thể dễ dàng giảm chi phí cho chương trình bảo mật web trong khi cải thiện tình trạng bảo mật của tất cả các tài sản web của họ.