Tăng cường an ninh mạng qua các khóa học tấn công chủ động của SANS năm 2025 (Phần I)

[ATTT số 3 (085) 2025] - Trong bối cảnh các mối đe dọa đang phát triển như hiện nay, việc các tổ chức, doanh nghiệp phải đối mặt với tấn công mạng là điều không thể tránh khỏi. Điều quan trọng là người bảo vệ an ninh mạng (ANM) có thể phát hiện và phản ứng với các cuộc tấn công này nhanh chóng và hiệu quả như thế nào. Việc đảm bảo an toàn cho tổ chức, doanh nghiệp phụ thuộc vào khả năng ứng phó sự cố toàn diện để vô hiệu hóa các mối đe dọa. Học viện SANS (Mỹ) là nhà cung cấp đào tạo ANM hàng đầu thế giới, hàng năm tổ chức rất nhiều khóa học tại các trung tâm trên thế giới nhằm đào tạo kiến thức về ANM cho lực lượng bảo đảm ANM để áp dụng các chiến lược ứng phó sự cố một cách chủ động và hiệu quả. Trong Phần I của bài báo sẽ giới thiệu tới độc giả 5 khóa học tấn công chủ động của SANS tổ chức trong năm 2025, với trình độ từ cơ bản đến nâng cao, có sự tích lũy kiến thức từ các khóa học.

1. SEC504: CÔNG CỤ, KỸ THUẬT VÀ CÁCH XỬ LÝ SỰ CỐ KHI TIN TẶC TẤN CÔNG

Với khóa đào tạo SEC504, học viên sẽ được đào tạo các kỹ năng ứng phó sự cố và nhập vai để hiểu được tư duy của kẻ tấn công. Bằng cách áp dụng tư duy của tin tặc và nghiên cứu các chiến thuật, kỹ thuật và quy trình (TTP) của chúng, học viên sẽ có được những hiểu biết có giá trị để phát triển Trí thông minh về mối đe dọa mạng (CTI) và tăng cường khả năng phòng thủ của mình.

Thông qua hơn 30 phòng thí nghiệm thực hành, học viên sẽ học cách điều tra các sự cố an ninh mạng, phát triển thông tin tình báo về mối đe dọa và áp dụng các chiến lược phòng thủ chống lại các mối đe dọa trong thế giới thực. Từ các cuộc tấn công bằng mật khẩu đến các kỹ thuật bỏ qua MFA trên các dịch vụ đám mây, khóa học này sẽ đưa các học viên đi sâu vào các chiến thuật mới nhất của tin tặc. Người học sẽ được sử dụng các công cụ tiên tiến và mô phỏng các cuộc tấn công thực tế để nâng cao khả năng phòng thủ, đồng thời tốt nghiệp khóa học sẽ được cấp chứng chỉ GIAC GCIH.

Sau khi hoàn thành khóa đào tạo SEC504, người học có thể:

- Phản ứng hiệu quả với sự cố ANM trong tổ chức để hạn chế thiệt hại.

- Đánh giá thông qua bằng chứng trong một vụ vi phạm để xác định mức độ nghiêm trọng.

- Xác định rủi ro trong các hệ thống đám mây và các mối đe dọa dẫn đến lộ lọt dữ liệu của tổ chức.

- Sử dụng các công cụ tấn công vào hệ thống đám mây để đánh giá mức độ an toàn của dịch vụ.

- Áp dụng các biện pháp phòng thủ hiệu quả giúp ngăn chặn các cuộc tấn công.

- Kiểm tra các công cụ phòng thủ an ninh để đánh giá hiệu quả của chúng.

- Phát triển thông tin về mối đe dọa (Threat Intelligence) bằng cách đánh giá các công cụ và kỹ thuật của kẻ tấn công.

2. SEC542: KIỂM THỬ XÂM NHẬP ỨNG DỤNG WEB

SEC542 nhằm mục đích tăng cường bảo mật cho tổ chức bằng cách đào tạo chuyên gia kiểm thử xâm nhập có kỹ năng. Khóa học này giúp học viên có thể đánh giá tình hình bảo mật của ứng dụng web, học viên sẽ được thực hành kỹ năng khai thác các ứng dụng web để tìm ra lỗi trong các ứng dụng web của doanh nghiệp. Học viên sẽ tìm hiểu về các công cụ và phương pháp của kẻ tấn công và thông qua các bài tập thực hành chi tiết, tìm hiểu quy trình thực hành kiểm tra thâm nhập ứng dụng web, tìm hiểu cách kẻ tấn công đánh cắp dữ liệu nhạy cảm và chiếm quyền điều khiển từ xa.

Khóa học không chỉ nhấn mạnh vào các khía cạnh kỹ thuật của việc hack mà còn nhấn mạnh tầm quan trọng của việc lập tài liệu và báo cáo kỹ lưỡng để truyền đạt tầm quan trọng của các lỗ hổng trong ứng dụng web. Ngoài nội dung khóa học chất lượng cao, SEC542 còn chú trọng nhiều vào các phòng thí nghiệm thực hành chuyên sâu và cuộc thi CTF để đảm bảo rằng học viên có thể áp dụng ngay những gì mình học được.

Học viên sẽ có được các kỹ năng sau khi hoàn thành khóa học như:

- Đánh giá mức độ an toàn các ứng dụng web truyền thống dựa trên máy chủ cũng như các ứng dụng hiện đại sử dụng nhiều AJAX tương tác với API.

- Phân tích kết quả từ các công cụ kiểm tra web tự động để xác định các lỗi quan trọng của ứng dụng web.

- Sử dụng Python để tạo các tập lệnh kiểm tra và khai thác trong quá trình kiểm tra thâm nhập.

- Khám phá và khai thác lỗ hổng SQL Injection để xác định rủi ro thực sự đối với tổ chức.

- Hiểu và khai thác lỗ hổng web, tạo cấu hình và kiểm tra tải trọng trong các cuộc tấn công web.

- Phân tích lưu lượng giữa ứng dụng máy khách và máy chủ bằng các công cụ như Zed Attack Proxy và BurpSuite Pro để tìm ra các vấn đề bảo mật...

3. SEC560: KIỂM THỬ XÂM NHẬP TRONG MÔI TRƯỜNG DOANH NGHIỆP

SEC560 là khóa học dành cho các nhà kiểm thử xâm nhập, quản trị viên hệ thống và người bảo đảm ANM nhằm củng cố các kỹ năng và hiểu biết của học viên về tư duy của kẻ tấn công, cho phép học viên nâng cao bảo mật tổ chức ngay lập tức.

SEC560 được thiết kế để giúp học viên sẵn sàng thực hiện được một cuộc kiểm tra thâm nhập toàn diện. Sau khi xây dựng các kỹ năng của mình trong các phòng thí nghiệm kết thúc khóa học các học viên được trải nghiệm bằng một kịch bản kiểm tra thâm nhập thực tế. Tốt nghiệp khóa đào tạo học viên sẽ được trang bị một số kỹ năng như sau:

- Lên kế hoạch và chuẩn bị hợp lý cho cuộc kiểm thử xâm nhập doanh nghiệp.

- Quét các môi trường trong phạm vi mô phỏng bằng các công cụ tốt nhất để xác định các hệ thống và mục tiêu dễ bị tấn công.

- Khai thác các hệ thống mục tiêu theo nhiều cách để tiếp cận và đo lường rủi ro thực tế.

- Tìm hiểu cách thức tấn công và leo thang đặc quyền trong hệ thống doanh nghiệp.

- Phát triển và cung cấp các báo cáo chất lượng cao truyền đạt rõ ràng rủi ro phát sinh từ các lỗi và cấu hình sai được phát hiện…

4. SEC573: TỰ ĐỘNG HÓA BẢO MẬT THÔNG TIN BẰNG PYTHON

SEC573 là khóa học chuyên sâu, tự học, thực hành và chuyên sâu trong phòng thí nghiệm. Học viên sẽ phát triển một chương trình phần mềm độc hại cho một hoạt động tấn công; học cách tìm kiếm trong nhật ký để tìm ra dấu hiệu của các cuộc tấn công mới nhất; phát triển mã để trích xuất các bằng chứng số từ bộ nhớ, ổ cứng và gói tin; tự động hóa tương tác với API của trang web trực tuyến và viết một chương trình phát hiện gói tin tùy chỉnh. Thông qua 128 phòng thí nghiệm và các cuộc thi CTF, học viên sẽ phát triển các công cụ hữu ích và xây dựng các kỹ năng thiết yếu giúp trở thành thành viên có giá trị trong nhóm bảo mật thông tin của mình. Thông qua khóa học học viên sẽ có thể:

- Tận dụng Python để thực hiện các tác vụ thường xuyên một cách nhanh chóng và hiệu quả.

- Tự động phân tích nhật ký và phân tích gói tin bằng các thao tác tệp, biểu thức chính quy và mô-đun phân tích để tìm ra nguy cơ tấn công.

- Phát triển các công cụ pháp y để phân tích dữ liệu nhị phân và trích xuất các hiện vật pháp y mới.

- Đọc dữ liệu từ cơ sở dữ liệu và Windows Registry.

- Tương tác với các trang web để thu thập thông tin tình báo.

- Phát triển các ứng dụng máy khách và máy chủ UDP và TCP.

- Tự động hóa các quy trình hệ thống và xử lý đầu ra của chúng.

5. SEC660: KIỂM THỬ XÂM NHẬP NÂNG CAO

SEC660 được thiết kế như một khóa học tiếp theo dành cho những học viên đã hoàn thành SEC560, những người đã có kinh nghiệm kiểm thử xâm nhập. Khóa học này cung cấp cho học viên kiến thức chuyên sâu về các vectơ tấn công nổi bật và mạnh mẽ nhất, đồng thời cung cấp một môi trường để thực hiện các cuộc tấn công trong nhiều tình huống thực hành.

Với SEC660, học viên sẽ được hướng dẫn thực hành hàng chục cuộc tấn công thực tế được sử dụng bởi những kiểm thử viên dày dạn kinh nghiệm nhất. Phương pháp tấn công được thảo luận, sau đó là các bài tập trong phòng thí nghiệm thực hành để củng cố các kiến thức nâng cao và tạo điều kiện cho việc áp dụng ngay các kỹ thuật tại nơi làm việc. Mỗi ngày của khóa học bao gồm một chương trình huấn luyện buổi tối kéo dài hai giờ để nâng cao thêm trình độ thành thạo các kỹ thuật đã thảo luận. Một số chủ đề được đề cập bao gồm các cuộc tấn công vào hệ thống kiểm soát truy cập mạng (NAC) và thao túng mạng cục bộ ảo (VLAN), khai thác thiết bị mạng, thoát khỏi môi trường bị hạn chế của Linux và Windows, IPv6, leo thang đặc quyền và viết mã khai thác Linux,…Khóa học này cũng cung cấp cho người học kiến thức chuyên sâu về các vectơ tấn công nổi bật và mạnh mẽ nhất hiện nay. Kết thúc khóa học, học viên sẽ có thêm các kỹ năng như:

- Thực hiện thử nghiệm xâm nhập an toàn trên các thiết bị mạng như bộ định tuyến, bộ chuyển mạch và triển khai NAC.

- Kiểm tra việc triển khai mật mã.

- Khai thác lỗ hổng bảo mật trên hệ thống Linux và Windows và thực hiện leo thang đặc quyền.

- Vượt qua các biện pháp giảm thiểu khai thác lỗ hổng bộ nhớ như ASLR (Address Space Layout Randomization), DEP (Data Execution Prevention), stack canaries…

Lưu ý: Đây là khóa học nâng cao, nhịp độ nhanh, đòi hỏi phải có kiến thức cơ bản để học các kỹ thuật kiểm tra thâm nhập nâng cao và khai thác tùy chỉnh. Các khóa học SANS sau đây được khuyến nghị trước hoặc là khóa học đi kèm với khóa học này: SEC504, Công cụ, kỹ thuật, khai thác và xử lý sự cố của tin tặc và SEC560, Kiểm tra thâm nhập doanh nghiệp.

KẾT LUẬN

Từ việc thấu hiểu tư duy của tin tặc kiểm thử xâm nhập ứng dụng và hệ thống, đến tự động hóa bảo mật bằng Python và thực hiện các kỹ thuật tấn công nâng cao, những khóa học này trang bị cho đội ngũ ANM năng lực toàn diện để bảo vệ tổ chức một cách vững chắc trong bối cảnh an ninh mạng đầy thách thức. Phần 2 của bài báo sẽ thông tin tới độc giả 4 khóa học tấn công chủ động tiếp theo của SANS trong năm 2025, từ cơ bản đến nâng cao, giúp cung cấp kiến thức và kỹ năng toàn diện để ứng phó hiệu quả với các cuộc tấn công.

[Quý độc giả đón đọc Tạp chí An toàn thông tin số 3 (085) 2025 tại đây]

TÀI LIỆU THAM KHẢO

[1]. https://www.sans.org/cyber-security-courses/hackertechniques-incident-handling/.

[2]. https://www.sans.org/cyber-security-courses/web-apppenetration-testing-ethical-hacking/.

[3]. https://www.sans.org/cyber-security-courses/enterprisepenetration-testing/.

[4]. https://www.sans.org/cyber-security-courses/automatinginformation-security-with-python/.

[5]. https://www.sans.org/cyber-security-courses/advancedpenetration-testing-exploits-ethical-hacking/.