Các tìm kiếm về dịch vụ kiểm thử xâm nhập tại Vương quốc Anh đã tăng hơn 35% từ năm 2023 đến 2025, được thúc đẩy bởi sự kết hợp của các sự cố ransomware, nghĩa vụ quy định ngày càng chặt chẽ hơn, và làn sóng các công ty bảo hiểm yêu cầu bằng chứng kiểm thử bảo mật tích cực trước khi phát hành các hợp đồng bảo hiểm mạng. Mặc dù có nhu cầu đó, vẫn còn sự nhầm lẫn rộng rãi về kiểm thử xâm nhập thực sự là gì, nó khác với quét lỗ hổng như thế nào, và một kiểm thử tốt có giá bao nhiêu.

Hướng dẫn này bao gồm toàn bộ bức tranh: kiểm thử xâm nhập là gì và không phải là gì, các loại chính, quy trình hoạt động, đầu ra cần chứa gì, thông tin xác nhận nào quan trọng ở Vương quốc Anh, và các mức chi phí thực tế cho năm 2026.

Tóm tắt

  • Kiểm thử xâm nhập là một cuộc tấn công mô phỏng bởi người kiểm thử được ủy quyền sử dụng các kỹ thuật giống như những kẻ tấn công thực. Nó không giống với quét lỗ hổng, vốn là tự động và không thể kết nối các lỗ hổng hoặc đánh giá tác động thực tế.
  • Người kiểm thử kết nối nhiều lỗ hổng lại với nhau để chứng minh tác động thực tế, không chỉ liệt kê các vấn đề riêng lẻ. Đây là điều làm cho phương pháp luận trở nên độc đáo và có giá trị.
  • Tại Vương quốc Anh, PCI DSS bắt buộc kiểm thử xâm nhập hàng năm, và Điều 32 của UK GDPR, ISO 27001 và hướng dẫn NCSC đều chỉ ra kiểm thử xâm nhập thường xuyên như bằng chứng về các biện pháp kiểm soát kỹ thuật phù hợp.
  • Đối với các nhà cung cấp được chứng nhận CREST, hãy tìm kiếm các chứng chỉ CRT (ứng dụng web), CCT App (ứng dụng web) hoặc CCT Inf (cơ sở hạ tầng). Đối với công việc trong khu vực công, áp dụng sơ đồ CHECK.

Kiểm thử xâm nhập là gì (và không phải là gì)

Kiểm thử xâm nhập là một cuộc mô phỏng tấn công có cấu trúc và được ủy quyền chống lại một mục tiêu được xác định. Người kiểm thử sử dụng các công cụ, kỹ thuật và quy trình tư duy giống như một kẻ tấn công độc hại, nhưng hoạt động trong phạm vi và quy tắc tham gia đã thỏa thuận. Mục tiêu là xác định các lỗ hổng và chứng minh khả năng khai thác thực tế của chúng trước khi một kẻ tấn công thực sự làm điều đó.

Quét lỗ hổng không phải là kiểm thử xâm nhập. Một máy quét tự động kiểm tra các hệ thống đối với cơ sở dữ liệu các lỗ hổng đã biết và tạo ra danh sách các phát hiện. Nó nhanh và có thể lặp lại, nhưng không thể suy luận về bối cảnh, kết nối các phát hiện lại, đánh giá logic kinh doanh, hoặc chứng minh tác động thực tế của những gì nó tìm thấy. Nhiều tổ chức nhầm lẫn hai loại này, và một số nhà cung cấp cố tình làm mờ ranh giới. Nếu nhà cung cấp báo giá cho bạn về “kiểm thử xâm nhập” và hợp đồng chạy hoàn toàn từ một công cụ mà không có phân tích thủ công, bạn đã mua quét lỗ hổng với giá cao.

Sự phân biệt này quan trọng về mặt thực tế. Quét lỗ hổng có thể gắn cờ rằng ứng dụng của bạn có biểu mẫu đăng nhập mà không khóa tài khoản. Kiểm thử xâm nhập đi xa hơn: người kiểm thử cố gắng khai thác điều đó cùng với điểm yếu liệt kê tên người dùng và mã thông báo phiên có thể dự đoán được để chứng minh chuỗi chiếm đoạt tài khoản hoàn toàn. Đó là sự khác biệt giữa liệt kê rủi ro và chứng minh nó.

Các loại kiểm thử xâm nhập

Theo mức độ kiến thức. Các bài kiểm thử thường được mô tả là hộp đen, hộp xám hoặc hộp trắng, đề cập đến lượng thông tin người kiểm thử được cung cấp ban đầu:

  • Hộp đen: người kiểm thử bắt đầu mà không có kiến thức trước về mục tiêu, mô phỏng một kẻ tấn công bên ngoài đã tự thực hiện trinh sát. Gần nhất với kịch bản tấn công thực tế nhưng có thể kém hiệu quả về thời gian vì người kiểm thử dành thời gian hợp đồng cho các nhiệm vụ (như lập bản đồ ứng dụng) mà bạn có thể cung cấp.
  • Hộp xám: người kiểm thử được cung cấp một số thông tin, thường là thông tin xác thực người dùng và tài liệu, nhưng không phải mã nguồn hay sơ đồ kiến trúc đầy đủ. Lựa chọn phổ biến nhất cho các bài kiểm thử ứng dụng web vì nó cân bằng giữa tính thực tế và hiệu quả.
  • Hộp trắng: người kiểm thử có toàn quyền truy cập bao gồm mã nguồn, tài liệu kiến trúc và sơ đồ cơ sở hạ tầng. Được sử dụng cho các đánh giá toàn diện và đánh giá mã được thúc đẩy bởi tuân thủ. Tìm thấy tỷ lệ cao nhất các lỗ hổng nhưng đòi hỏi sự chuẩn bị nhiều nhất từ nhóm của bạn.

Theo loại mục tiêu. Các danh mục phổ biến bao gồm:

  • Kiểm thử xâm nhập mạng: cơ sở hạ tầng bên ngoài hoặc nội bộ, quy tắc tường lửa, cấu hình VPN, cơ hội di chuyển ngang
  • Kiểm thử xâm nhập ứng dụng web: OWASP Top 10 và xa hơn, bao gồm xác thực, quản lý phiên, xác thực đầu vào và logic kinh doanh
  • Kiểm thử xâm nhập API: điểm cuối REST và GraphQL, bỏ qua xác thực, gán hàng loạt, giới hạn tốc độ và lộ dữ liệu
  • Kiểm thử xâm nhập ứng dụng di động: ứng dụng Android và iOS, lưu trữ dữ liệu không an toàn, bỏ qua ghim chứng chỉ và sự cố API backend được tiết lộ qua lớp di động
  • Kỹ thuật xã hội: mô phỏng lừa đảo, giả vờ và vishing (lừa đảo bằng giọng nói) để kiểm thử lớp người
  • Kiểm thử xâm nhập vật lý: theo đuôi, sao chép RFID, bỏ qua kiểm soát truy cập, nhắm vào cơ sở vật chất

Hầu hết các doanh nghiệp Anh bắt đầu với kiểm thử ứng dụng web hoặc mạng và mở rộng phạm vi khi chương trình bảo mật của họ trưởng thành.

Quy trình kiểm thử xâm nhập

Kiểm thử xâm nhập nghiêm ngặt tuân theo một phương pháp luận được xác định. Cả hai framework CREST và PTES (Penetration Testing Execution Standard) đều mô tả một chuỗi tương tự:

Xác định phạm vi và quy tắc tham gia

Trước khi bắt đầu kiểm thử, bạn và nhà cung cấp thỏa thuận về mục tiêu, loại kiểm thử, cửa sổ kiểm thử (một số tổ chức yêu cầu kiểm thử ngoài giờ để tránh ảnh hưởng đến môi trường sản xuất), quy trình leo thang nếu phát hiện nghiêm trọng được tìm thấy giữa chừng, và những gì rõ ràng nằm ngoài phạm vi. Ghi lại điều này bằng văn bản. Thư ủy quyền bảo vệ cả hai bên.

Trinh sát

Người kiểm thử thu thập thông tin về mục tiêu qua các phương tiện thụ động (thông tin tình báo nguồn mở, nhật ký minh bạch chứng chỉ, thông báo tuyển dụng tiết lộ ngăn xếp công nghệ, thông tin xác thực bị rò rỉ trong cơ sở dữ liệu vi phạm) và các phương tiện chủ động (liệt kê DNS, quét cổng, lấy dấu vân tay dịch vụ). Trong bài kiểm thử hộp đen, giai đoạn này có thể chiếm phần lớn thời gian hợp đồng.

Khai thác

Người kiểm thử cố gắng khai thác các lỗ hổng đã xác định để có được quyền truy cập ban đầu hoặc chứng minh tác động. Đây là nơi phương pháp luận phân kỳ so với quét: người kiểm thử có kỹ năng thử nhiều tuyến đường, thích nghi khi một con đường bị chặn, và tìm kiếm sự kết hợp của các vấn đề nghiêm trọng thấp hơn mà cùng nhau tạo ra kết quả có tác động cao.

Khai thác sau và kết nối lỗ hổng

Đây là giai đoạn mà hầu hết marketing của nhà cung cấp bỏ qua. Sau khi có được quyền truy cập ban đầu, kẻ tấn công thực sự có thể làm gì? Người kiểm thử đánh giá ứng dụng web có thể kết nối lỗ hổng XSS với điểm yếu CSRF và mã định danh phiên có thể dự đoán để chứng minh chiếm đoạt tài khoản hoàn toàn. Đối với cơ sở hạ tầng, khai thác sau bao gồm leo thang đặc quyền, di chuyển ngang và xác định dữ liệu hoặc hệ thống có thể truy cập từ chỗ đứng ban đầu.

Kết nối là quan trọng vì nó tái định hình rủi ro. Một phát hiện riêng lẻ được đánh giá CVSS 5.5 (Trung bình) trở thành cuộc trò chuyện khác khi bạn có thể chỉ ra rằng nó có thể khai thác kết hợp với hai cái khác để đánh cắp cơ sở dữ liệu khách hàng của bạn.

Báo cáo

Người kiểm thử ghi lại tất cả các phát hiện, viết báo cáo và giao nó trong khung thời gian đã thỏa thuận (thường là năm đến mười ngày làm việc sau khi hoàn thành kiểm thử). Báo cáo chứa gì được đề cập trong phần tiếp theo.

Một báo cáo kiểm thử xâm nhập chất lượng chứa gì

Báo cáo kiểm thử xâm nhập chuyên nghiệp là tài liệu làm việc cho nhóm của bạn, không phải công cụ bán hàng cho nhà cung cấp. Nó nên chứa:

Tóm tắt điều hành. Tổng quan phi kỹ thuật về hợp đồng, tư thế rủi ro tổng thể, số lượng và mức độ nghiêm trọng của các phát hiện, và các vấn đề quan trọng nhất. Được viết cho người đọc ở cấp hội đồng quản trị cần đưa ra quyết định, không phải nhà phát triển cần sửa mã.

Phạm vi và phương pháp luận. Những gì đã được kiểm thử, cách nó được kiểm thử và bất kỳ hạn chế nào (ví dụ: nếu một số URL nhất định bị loại trừ hoặc kiểm thử bị giới hạn trong giờ làm việc).

Các phát hiện được đánh giá theo rủi ro. Mỗi lỗ hổng được liệt kê với đánh giá mức độ nghiêm trọng. Hầu hết các nhà cung cấp chuyên nghiệp của Anh sử dụng điểm CVSS 3.1 cùng với đánh giá rủi ro theo ngữ cảnh có tính đến môi trường cụ thể của bạn. Điểm CVSS đơn độc có thể gây hiểu nhầm; phát hiện 7.5 không có vectơ truy cập bên ngoài là rủi ro khác với cùng điểm trên điểm cuối công khai.

Chi tiết kỹ thuật và các bước tái hiện. Đủ thông tin để nhà phát triển của bạn tái hiện phát hiện, hiểu tại sao nó có thể khai thác và xác nhận rằng bản sửa lỗi của họ hoạt động. Điều này có nghĩa là: các yêu cầu và phản hồi chính xác, payload được sử dụng, ảnh chụp màn hình khi hữu ích.

Hướng dẫn khắc phục. Lời khuyên cụ thể và có thể thực hiện được cho từng phát hiện. Không phải “cập nhật các phụ thuộc của bạn” mà là “nâng cấp thư viện X từ phiên bản 2.3.1 lên 2.4.0 và xóa lệnh gọi tuần tự hóa đã lỗi thời ở dòng 247 của UserController.php.”

Tuyên bố kiểm thử lại. Xác nhận việc kiểm thử lại có được bao gồm không, và nếu có, cách các phát hiện sẽ được đóng. Phát hiện không được giải quyết cho đến khi người kiểm thử xác nhận điều đó.

Yêu cầu tuân thủ của Vương quốc Anh về kiểm thử xâm nhập

PCI DSS. Bất kỳ doanh nghiệp nào xử lý, lưu trữ hoặc truyền dữ liệu chủ thẻ phải thực hiện kiểm thử xâm nhập ít nhất hàng năm và sau bất kỳ thay đổi cơ sở hạ tầng hoặc ứng dụng đáng kể nào. PCI DSS v4.0, trở thành phiên bản hoạt động duy nhất vào tháng 3 năm 2024, bao gồm các yêu cầu cập nhật về phạm vi và phương pháp luận kiểm thử xâm nhập. Đây là yêu cầu bắt buộc, không phải khuyến nghị.

UK GDPR Điều 32. Yêu cầu các tổ chức triển khai các biện pháp kỹ thuật thích hợp để đảm bảo bảo mật phù hợp với rủi ro. Kiểm thử xâm nhập là cách trực tiếp nhất để chứng minh rằng bạn đã chủ động đánh giá liệu các biện pháp kiểm soát kỹ thuật của mình có hoạt động không. ICO đã tham chiếu kiểm thử bảo mật trong các quyết định thực thi.

ISO 27001. Kiểm soát 8.8 trong Phụ lục A bao gồm quản lý lỗ hổng kỹ thuật, và kiểm thử xâm nhập là phương pháp tiêu chuẩn để thỏa mãn kiểm soát này. Nếu bạn đang hướng tới chứng nhận ISO 27001, kiểm toán viên của bạn sẽ mong được thấy bằng chứng kiểm thử.

Cyber Essentials Plus. Cấp cao hơn của sơ đồ Cyber Essentials của chính phủ Anh bao gồm đánh giá tại chỗ và quét lỗ hổng. Mặc dù Cyber Essentials Plus không phải là kiểm thử xâm nhập, việc đạt được và duy trì đường cơ sở mà nó thiết lập là điều kiện tiên quyết hợp lý.

Hướng dẫn NCSC. Trung tâm An ninh mạng Quốc gia khuyến nghị kiểm thử xâm nhập như một phần của framework “10 Bước đến An ninh mạng”, cụ thể là dưới các bước “Quản lý lỗ hổng” và “Bảo mật mạng”.

Chứng chỉ CREST và tại sao chúng quan trọng

CREST là cơ quan công nhận chính của Vương quốc Anh cho các công ty kiểm thử xâm nhập và người kiểm thử cá nhân. Các nhà cung cấp đăng ký CREST được đánh giá về quy trình, phương pháp luận và khả năng xử lý dữ liệu nhạy cảm một cách phù hợp. Người kiểm thử cá nhân có thể giữ các chứng chỉ sau:

  • CREST Registered Tester (CRT): chứng chỉ cấp đầu vào chứng minh năng lực kỹ thuật trong kiểm thử ứng dụng web hoặc cơ sở hạ tầng.
  • CREST Certified Tester - Application (CCT App): chứng chỉ nâng cao cho kiểm thử xâm nhập ứng dụng web. Yêu cầu vượt qua kỳ thi thực hành.
  • CREST Certified Tester - Infrastructure (CCT Inf): chứng chỉ tương đương cho kiểm thử mạng và cơ sở hạ tầng.

Đối với các cơ quan khu vực công của Vương quốc Anh, áp dụng sơ đồ CHECK. CHECK là sơ đồ do NCSC quản lý yêu cầu người kiểm thử xâm nhập giữ trạng thái CHECK Team Member hoặc CHECK Team Leader. Nếu bạn là một bộ phận của chính phủ, cơ quan NHS hoặc cơ quan địa phương, nhà cung cấp của bạn phải giữ trạng thái CHECK.

Khi đánh giá các nhà cung cấp, hãy yêu cầu xem các chứng chỉ cụ thể do người kiểm thử thực sự làm việc trong hợp đồng của bạn giữ, không phải các chứng chỉ do nhân viên cấp cao nhất của công ty giữ. Người viết báo cáo của bạn và thực hiện kiểm thử của bạn là chứng chỉ quan trọng.

Nên kiểm thử bao lâu một lần?

Câu trả lời đúng phụ thuộc vào hồ sơ rủi ro của bạn, nhưng các mức tối thiểu thực tế là:

  • Hàng năm ít nhất cho bất kỳ ứng dụng nào hướng tới internet xử lý dữ liệu cá nhân hoặc thanh toán
  • Sau các bản phát hành lớn giới thiệu chức năng mới, luồng xác thực mới hoặc tích hợp mới
  • Trước khi ra mắt với sản phẩm, ứng dụng hoặc dịch vụ mới sẽ xử lý dữ liệu cá nhân hoặc thanh toán lần đầu tiên
  • Sau sự cố bảo mật, để hiểu liệu kẻ tấn công có để lại cơ chế kiên trì hay khai thác các lỗ hổng chưa được đóng
  • Khi hồ sơ rủi ro của bạn thay đổi, ví dụ sau sáp nhập, mua lại hoặc mở rộng đáng kể cơ sở người dùng

Chi phí kiểm thử xâm nhập tại Vương quốc Anh

Loại hợp đồngMức chi phí điển hìnhGhi chú
Kiểm thử ứng dụng web hộp đen£2.000 - £8.000Bên ngoài, không cung cấp thông tin xác thực
Kiểm thử ứng dụng web hộp xám/trắng£5.000 - £15.000Kiểm thử được xác thực, có thể bao gồm đánh giá mã nguồn
Kiểm thử xâm nhập API£3.000 - £8.000REST/GraphQL, phụ thuộc vào số lượng điểm cuối
Kiểm thử xâm nhập cơ sở hạ tầng (bên ngoài)£3.000 - £10.000Vành đai, dịch vụ bị lộ
Kiểm thử xâm nhập cơ sở hạ tầng (nội bộ)£4.000 - £12.000Mô phỏng kịch bản nội gián hoặc sau vi phạm
Bài tập Red Team£15.000 - £50.000+Mô phỏng đối thủ đầy đủ, đa vectơ
Hợp đồng kỹ thuật xã hội£2.000 - £6.000Lừa đảo, vishing hoặc chiến dịch kết hợp

Mức giá phản ánh giá thị trường Vương quốc Anh năm 2026. Báo giá thấp hơn đáng kể so với các mức này thường cho thấy quét tự động với phân tích thủ công tối thiểu.

Dịch vụ kiểm thử xâm nhập Mecanik bao gồm kiểm thử ứng dụng web, API và cơ sở hạ tầng cho các doanh nghiệp Anh, sử dụng phương pháp luận PTES và OWASP, với các khai thác proof-of-concept và báo cáo khắc phục được ưu tiên.

Điểm chính

  • Kiểm thử xâm nhập là mô phỏng tấn công thủ công, được ủy quyền. Nó hoàn toàn khác với quét lỗ hổng tự động.
  • Người kiểm thử kết nối nhiều lỗ hổng để chứng minh tác động thực tế, không chỉ liệt kê các vấn đề riêng lẻ một cách riêng biệt.
  • Các nghĩa vụ tuân thủ của Vương quốc Anh (PCI DSS, UK GDPR Điều 32, ISO 27001, hướng dẫn NCSC) đều chỉ ra kiểm thử xâm nhập thường xuyên như thực hành bảo mật cơ bản.
  • Báo cáo chất lượng chứa các phát hiện được đánh giá theo rủi ro, các bước tái hiện kỹ thuật, điểm CVSS với đánh giá theo ngữ cảnh và hướng dẫn khắc phục cụ thể cho từng vấn đề.
  • Về chứng chỉ, hãy tìm CREST CRT, CCT App hoặc CCT Inf cho người kiểm thử cá nhân trong hợp đồng của bạn. Đối với công việc khu vực công, cần có trạng thái sơ đồ CHECK.
  • Kiểm thử ít nhất hàng năm, sau các bản phát hành lớn, và trước khi ra mắt bất kỳ dịch vụ mới nào xử lý dữ liệu cá nhân hoặc thanh toán.

Câu hỏi thường gặp (FAQ)

Sự khác biệt giữa kiểm thử xâm nhập và quét lỗ hổng là gì? Quét lỗ hổng sử dụng các công cụ tự động để kiểm tra hệ thống đối với cơ sở dữ liệu các vấn đề đã biết. Kiểm thử xâm nhập liên quan đến người kiểm thử là con người suy luận về mục tiêu, kết nối các lỗ hổng và chứng minh khả năng khai thác thực tế. Quét nhanh và hữu ích cho việc thiết lập đường cơ sở; chúng không thay thế kiểm thử thủ công.

Kiểm thử xâm nhập mất bao lâu? Kiểm thử ứng dụng web cho một trang có độ phức tạp trung bình thường mất ba đến năm ngày thời gian kiểm thử. Các ứng dụng lớn, hợp đồng hộp trắng với đánh giá mã nguồn, hoặc kiểm thử cơ sở hạ tầng trên nhiều máy chủ mất nhiều thời gian hơn. Cuộc trò chuyện xác định phạm vi và viết báo cáo thêm thời gian nữa, vì vậy hãy lên kế hoạch hai đến bốn tuần từ khi bắt đầu hợp đồng đến khi giao báo cáo cuối cùng.

Tôi có cần thông báo cho nhà cung cấp dịch vụ lưu trữ trước khi kiểm thử xâm nhập không? Kiểm tra điều khoản dịch vụ của nhà cung cấp dịch vụ lưu trữ hoặc đám mây của bạn. AWS, Azure và GCP đều cho phép kiểm thử xâm nhập các tài nguyên của chính bạn mà không cần thông báo trước đối với hầu hết các dịch vụ, mặc dù một số hạn chế áp dụng. Các nhà cung cấp dịch vụ lưu trữ dùng chung thường yêu cầu thông báo trước. Nhà cung cấp kiểm thử xâm nhập của bạn nên xác nhận điều này trong quá trình xác định phạm vi.

Điều gì xảy ra nếu người kiểm thử tìm thấy lỗ hổng nghiêm trọng trong quá trình kiểm thử? Quy tắc tham gia của bạn nên xác định quy trình leo thang cho các phát hiện nghiêm trọng. Người kiểm thử uy tín sẽ liên hệ với bạn ngay lập tức thay vì đợi báo cáo. Sau đó bạn quyết định có tạm dừng kiểm thử trong khi khắc phục, tiếp tục với phát hiện đó được ghi lại, hoặc điều chỉnh phạm vi.

Kiểm thử xâm nhập có thể gây ra thời gian ngừng hoạt động không? Hầu hết các kỹ thuật kiểm thử không phá hủy và không gây ra thời gian ngừng hoạt động. Kiểm thử từ chối dịch vụ yêu cầu thỏa thuận rõ ràng và thường được thực hiện ngoài giờ. Người kiểm thử của bạn nên thảo luận về rủi ro của bất kỳ kỹ thuật có khả năng gây gián đoạn nào trước khi thực hiện.

Làm thế nào để xác minh chứng chỉ của người kiểm thử xâm nhập CREST? CREST duy trì sổ đăng ký công khai các công ty đã đăng ký và cá nhân được chứng nhận tại crest-approved.org. Tìm kiếm theo tên công ty hoặc tên người kiểm thử để xác minh trạng thái. Đối với CHECK, NCSC công bố danh sách các nhà cung cấp dịch vụ được chấp thuận CHECK.