Kiểm tra thâm nhập - Khắc phục
Các nỗ lực kiểm tra thâm nhập - dù có kỹ lưỡng đến đâu - không phải lúc nào cũng có thể đảm bảo khám phá toàn diện mọi trường hợp mà hiệu quả của kiểm soát an ninh không đủ. Việc xác định lỗ hổng hoặc rủi ro kịch bản chéo trang web trong một khu vực của ứng dụng có thể không chắc chắn làm lộ tất cả các trường hợp của lỗ hổng này có trong ứng dụng. Chương này minh họa khái niệm và công dụng của việc khắc phục.
Remediation là gì?
Biện pháp khắc phục là một hành động đưa ra một sự cải tiến để thay thế một sai lầm và khắc phục sai lầm. Thông thường, sự hiện diện của lỗ hổng ở một khu vực có thể cho thấy sự yếu kém trong quy trình hoặc thực tiễn phát triển có thể đã tái tạo hoặc kích hoạt lỗ hổng tương tự ở các khu vực khác. Do đó, trong khi khắc phục, điều quan trọng là người thử nghiệm phải điều tra cẩn thận đối tượng được thử nghiệm hoặc các ứng dụng có lưu ý đến các biện pháp kiểm soát bảo mật không hiệu quả.
Vì những lý do này, công ty tương ứng nên thực hiện các bước để khắc phục bất kỳ lỗ hổng có thể khai thác nào trong một khoảng thời gian hợp lý sau thử nghiệm thâm nhập ban đầu. Trên thực tế, ngay sau khi công ty đã hoàn thành các bước này, người thử bút nên thực hiện kiểm tra lại để xác nhận các biện pháp kiểm soát mới được triển khai có khả năng giảm thiểu rủi ro ban đầu.
Các nỗ lực khắc phục kéo dài trong một thời gian dài hơn sau khi kiểm tra bút ban đầu có thể yêu cầu thực hiện một cam kết kiểm tra mới để đảm bảo kết quả chính xác của môi trường hiện tại nhất. Việc xác định này phải được thực hiện sau khi phân tích rủi ro về mức độ thay đổi đã xảy ra kể từ khi hoàn thành thử nghiệm ban đầu.
Hơn nữa, trong các điều kiện cụ thể, vấn đề bảo mật bị gắn cờ có thể minh họa một lỗ hổng cơ bản trong môi trường hoặc ứng dụng tương ứng. Do đó, phạm vi của một cuộc kiểm tra lại nên xem xét liệu bất kỳ thay đổi nào gây ra bởi biện pháp khắc phục được xác định từ cuộc kiểm tra có được phân loại là đáng kể hay không. Tất cả các thay đổi nên được thử nghiệm lại; tuy nhiên, việc kiểm tra lại toàn bộ hệ thống có cần thiết hay không sẽ được xác định bằng việc đánh giá rủi ro của các thay đổi.