Sự khác biệt giữa kiểm tra xâm nhập nội bộ (Internal) và kiểm tra xâm nhập bên ngoài (External)

Kiểm tra xâm nhập thực hiện theo các phương pháp khác nhau. Tùy thuộc vào loại kiểm tra xâm nhập, đánh giá này cho phép các chuyên gia kiểm tra xâm nhập (pentesters) thử nghiệm phòng thủ của tổ chức bạn bằng cách giả định vai trò của một kẻ tấn công từ external hoặc một người đã có quyền truy cập internal cơ bản vào hệ thống và mạng của bạn. 

Kiểm tra xâm nhập có thể là  External hoặc Internal tùy thuộc vào mục tiêu của dự án. 

Cả kiểm tra xâm nhập internal và kiểm tra xâm nhập external đều có thể cung cấp sự bảo vệ tốt hơn cho mạng của bạn ở mọi cấp độ. Nhưng khi nào bạn cần kiểm tra nào, và sự khác biệt giữa chúng là gì? 

Hiểu rõ sự khác biệt giữa kiểm tra xâm nhập internal và external là quan trọng để bạn có thể sử dụng phương pháp phù hợp nhất và đánh giá kết quả một cách đúng đắn. 

Dưới đây, chúng tôi sẽ thảo luận về sự khác biệt giữa kiểm tra xâm nhập internal và external, tại sao mỗi loại quan trọng và khi nào bạn có thể cần chúng.   

Kiểm tra xâm nhập External là gì? 

Việc hiểu rõ lý do thực hiện Kiểm Tra Xâm Nhập rất quan trọng. Liệu bạn thực hiện điều này vì yêu cầu tuân thủ quy định hoặc để đánh giá tính bảo mật của một bản nâng cấp phần cứng/phần mềm gần đây? 

Kiểm tra xâm nhập External là một đánh giá được thực hiện theo quy định từ góc nhìn của một kẻ tấn công bên ngoài đối với hạ tầng công nghệ thông tin ngoại vi của tổ chức bạn và các dịch vụ mạng đã tiết lộ ra ngoài. Đánh giá này cố gắng tìm ra và khai thác các lỗ hổng để xem xét khả năng bị tấn công hoặc xâm phạm bằng cách mô phỏng hành động của một đối tượng đe dọa thực sự (hoặc kẻ tấn công).

Bằng cách khai thác các lỗ hổng đã tìm thấy như Open Port, ứng dụng chống virus lỗi thời và các lỗ hổng bảo mật zero-day, nó xác định thông tin được tiết lộ ra ngoài. Kết quả kiểm tra sẽ cho thấy liệu các biện pháp bảo mật đã triển khai có đủ để bảo vệ một tổ chức và đánh giá khả năng của nó để phòng thủ trước bất kỳ cuộc tấn công ngoại vi nào. 

Mục tiêu phổ biến nhất của một kiểm tra xâm nhập external là xác định xem liệu một kẻ tấn công có thể xâm nhập vào mạng của tổ chức bạn từ bên ngoài hay không. Tuy nhiên, mục tiêu được tùy chỉnh cho mỗi đánh giá dựa trên yêu cầu của tổ chức bạn. 

Kiểm tra xâm nhập External là một dịch vụ nên được sử dụng sau khi tổ chức của bạn đã cố gắng củng cố phần biên giới ngoại vi qua việc vá lỗi và cấu hình dịch vụ an toàn, có thông tin nhạy cảm như thông tin của khách hàng và thanh toán, hoặc muốn kiểm tra cách hệ thống phòng thủ của bạn phản ứng trước những cuộc tấn công như vậy. Dịch vụ này sẽ xác minh những nỗ lực mà tổ chức của bạn đã đầu tư và xác định bất kỳ khu vực nào có thể cần củng cố. 

Kiểm tra xâm nhập External bao gồm gì? 

Kiểm tra xâm nhập External bao gồm: 

• Xác định các lỗ hổng trên các tài sản công khai như trang web và các ứng dụng ngoại vi. 

• Tấn công mô phỏng tại các điểm yếu ngoại vi khác nhau. 

• Kiểm tra sức mạnh của mật khẩu, footprinting, kiểm tra tường lửa và nhiều hơn nữa. 

• Báo cáo các kết quả để tổ chức của bạn có thể tiến hành các bước khắc phục. 

• Kiểm tra cấu hình và triển khai quản lý 

• Kiểm tra quản lý danh tính 

• Kiểm tra xác thực 

• Kiểm tra quản lý phiên, kiểm tra xác thực đầu vào 

• Kiểm tra mã hóa 

• Kiểm tra logic doanh nghiệp 

• Tấn công dựa trên việc chèn mã 

• Cố gắng tấn công từ chối dịch vụ trên các dịch vụ khác nhau 

• Kiểm tra phía khách hàng 

• Kiểm tra xử lý lỗi. 

• Báo cáo các kết quả để tổ chức của bạn có thể tiến hành các bước khắc phục. 

Kiểm tra xâm nhập (nội bộ) Internal là gì? 

Kiểm tra xâm nhập internal xem xét các điều khiển bảo mật trong mạng của bạn. Đây là quá trình xác định và khai thác các lỗ hổng trong hệ thống của bạn và khám phá ai có thể xâm nhập vào mạng bằng cách tấn công vào mạng của bạn. Nó cũng được thực hiện để kiểm tra xem nhân viên nội bộ có thể thực hiện các cuộc tấn công từ bên trong mà không có bất kỳ cơ chế bảo mật nào ngăn chặn họ và những ảnh hưởng mà nó có thể gây ra trong việc tiết lộ, lạm dụng, thay đổi hoặc phá hủy thông tin tối mật của tổ chức. Kiểm tra xâm nhập internal rất hữu ích cho các tổ chức muốn biết những gì có thể được thực hiện bởi một kẻ tấn công đã có quyền truy cập nội bộ vào mạng của bạn. 

Kiểm tra xâm nhập internal nên được thực hiện sau khi tổ chức của bạn đã cố gắng bảo vệ mạng nội bộ của bạn và muốn đảm bảo rằng cấu hình bảo mật hiện tại và quy trình bảo mật bảo vệ toàn bộ hạ tầng nội bộ. 

Chúng tôi cần lưu ý rằng phương pháp tiếp cận internal, bao gồm các phương pháp sau xâm nhập và vượt qua biện pháp, không giống như phương pháp external.  Họ không sử dụng các công cụ giống nhau, điều này cũng có nghĩa là nó đòi hỏi các kỹ năng khác nhau để thực hiện. Ý tưởng của phương pháp internal không chỉ là tìm ra và khai thác các lỗ hổng của các loại thiết bị khác nhau yêu cầu một kỹ năng cụ thể và không thể thực hiện bằng các công cụ tự động.  

Ví dụ, bạn muốn tấn công SmartTV, máy tính xách tay, máy chủ, thiết bị lưu trữ, máy in mạng, camera an ninh, lĩnh vực Active, và thiết bị IoT. Vì vậy, bạn có thể hiểu rằng tất cả đều dựa vào kiến thức và kinh nghiệm mà nhà cung cấp có trong lĩnh vực này và bạn muốn tạo ra một ảnh hưởng bằng cách chỉ cho khách hàng thấy những gì có thể xảy ra và nơi để tìm kiếm thông tin nhạy cảm bên trong tổ chức. 

Kiểm tra xâm nhập mạng nội bộ internal bao gồm gì? 

Kiểm tra xâm nhập mạng internal bao gồm: 

• Các điểm kết nối khác nhau như IoT (máy in mạng, camera an ninh, SmartTVs, điện thoại thông minh (IOS/Android), máy chủ ảo và vật lý, máy tính xách tay, v.v.). 

• Leo thang đặc quyền, lây lan phần mềm độc hại, tấn công man-in-the-middle (MITM), lấy thông tin xác thực, giám sát, rò rỉ thông tin hoặc bất kỳ hoạt động độc hại nào khác. 

• Xác định các lỗ hổng trên các tài sản nội bộ như các ứng dụng. 

• Tấn công mô phỏng tại những điểm yếu này. 

• Sử dụng quét mạng nội bộ, khai thác và kiểm tra tường lửa. 

• Sniffing mạng nội bộ trong khi kiểm tra xem thông tin nhạy cảm nào có thể bị đánh cắp, giải mã và bẻ khóa. 

• Cố gắng tiến sâu hơn như xâm nhập vào dữ liệu kế toán và kho lưu trữ để cho thấy tác động nghiêm trọng của những gì có thể được tìm thấy từ các cuộc tấn công sâu hơn như vậy. 

• Báo cáo các kết quả để tổ chức của bạn có thể tiến hành các bước khắc phục.   

Ưu điểm và Nhược điểm 

 Kiểm tra xâm nhập External 

 Ưu điểm: 

• Có thể xác định các lỗ hổng cụ thể cho hệ thống gặp phải từ Internet của tổ chức, chẳng hạn như các ứng dụng web và thiết bị mạng. 

• Có thể kiểm tra khả năng của tổ chức phát hiện và phản ứng với các mối đe dọa từ bên ngoài. 

• Cung cấp cái nhìn về cách biện pháp bảo mật của tổ chức hoạt động chống lại các kẻ tấn công trong thế giới thực. 

• Có thể giúp tổ chức ưu tiên đầu tư bảo mật dựa trên các lỗ hổng quan trọng nhất được tìm thấy. 

• Có thể tiết lộ việc theo dấu một công ty thông qua OSINT và tập tin bị tiết lộ, và thông tin nhạy cảm hoặc lỗi thời từ nhân viên trong quá khứ hoặc hiện tại, điều này sẽ cho phép tổ chức theo dõi từng cá nhân và thực hiện các biện pháp khắc phục cần thiết. 

Nhược điểm: 

• Có thể không hiệu quả khi xác định các lỗ hổng trong các hệ thống không thể truy cập từ Internet, chẳng hạn như các máy chủ nội bộ hoặc các ứng dụng. 

• Có thể tạo ra các kết quả dương tính sai hoặc tiêu cực do khó khăn trong việc mô phỏng chính xác các cuộc tấn công trong thế giới thực. 

• Có thể bị hạn chế bởi các yêu cầu pháp lý hoặc đạo đức, chẳng hạn như hạn chế trong việc kiểm tra các hệ thống của bên thứ ba hoặc thực hiện một số loại tấn công cụ thể. 

• Nhân viên của tổ chức vẫn có thể bị tổn thương khi các thiết bị kết nối của họ có thể được truy cập thông qua mạng external khi sử dụng thiết bị làm việc. 

Kiểm tra xâm nhập Internal 

 Ưu điểm: 

• Có thể xác định các lỗ hổng cụ thể cho các hệ thống nội bộ của tổ chức, chẳng hạn như máy chủ nội bộ, thiết bị thông minh IoT, máy tính xách tay và cơ sở dữ liệu. 

• Có thể kiểm tra khả năng của tổ chức phát hiện và phản ứng với các mối đe dọa nội bộ, chẳng hạn như cuộc tấn công từ bên trong hoặc nhiễm malware. 

• Cung cấp cái nhìn về cách biện pháp bảo mật của tổ chức hoạt động từ góc nhìn nội bộ. 

• Có thể giúp tổ chức ưu tiên đầu tư bảo mật dựa trên các lỗ hổng quan trọng nhất được tìm thấy. 

• Sẽ tiết lộ mức độ mà một kẻ tấn công có thể tiến xa - chẳng hạn như loại thông tin nhạy cảm mà anh ta có thể lấy đi như tài khoản kế toán, email, mật khẩu, nhưng cũng thông tin tài chính và y tế của nhân viên và quản lý, điều này có thể gây hại cho danh tiếng doanh nghiệp. 

Nhược điểm: 

• Có thể bị hạn chế bởi các biện pháp bảo mật của tổ chức, chẳng hạn như tường lửa hoặc hệ thống phát hiện xâm nhập, có thể ngăn chặn hoặc phát hiện các cuộc tấn công. 

• Có thể khó khăn hơn trong việc điều phối và thực hiện so với kiểm tra xâm nhập external, vì nó đòi hỏi Red Team có kỹ năng cao thực hiện các cuộc tấn công phức tạp hơn như sau tấn công, kỹ thuật né tránh và thăng bằng quyền hạn và nhiều công ty sử dụng các cuộc tấn công tự động sẽ không thể đạt được. 

• Có thể tạo ra các kết quả dương tính sai hoặc tiêu cực do sự phức tạp của các hệ thống nội bộ của tổ chức và khó khăn trong việc mô phỏng chính xác các cuộc tấn công trong thế giới thực. 

Lựa Chọn Phù Hợp Với Doanh Nghiệp Của Bạn 

Cả kiểm tra xâm nhập External và Internal đều quan trọng như nhau, nhưng điều này phụ thuộc vào nhu cầu của từng doanh nghiệp. 

 Kiểm Tra Xâm Nhập External có thể hữu ích nếu: 

• Bạn đã gặp sự cố việc xâm nhập dữ liệu từ external và muốn cải thiện bảo mật của mình. 

• Bạn vừa mới ra mắt các trang web, ứng dụng công khai mới, máy chủ FTP và nhiều hơn nữa. 

• Bạn đã thực hiện kiểm tra lỗ hổng định kỳ như quét lỗ hổng, nhưng chưa bao giờ thực hiện kiểm tra thực sự về bảo mật biên giới của bạn. 

• Bạn chưa bao giờ kiểm tra hệ thống của mình và muốn thấy xem có thể tìm thấy phạm vi phủ sóng gì từ góc nhìn external. 

• Đang tìm kiếm tuân thủ như ISO 27001, PCI, DSS, v.v... 

 Kiểm Tra Xâm Nhập Internal có thể hữu ích nếu: 

• Bạn đã thực hiện kiểm tra xâm nhập external và muốn thấy một kẻ đe dọa có thể đi xa đến đâu bên trong hệ thống của bạn. 

• Bạn nghi ngờ cơ sở hạ tầng của mình có thể không an toàn. 

• Bạn đã từng là nạn nhân của một cuộc tấn công từ bên trong. 

• Nhân viên của bạn chưa được đào tạo về nhận thức về bảo mật mạng và có thể để lại điểm thăng cấp người dùng dễ bị tổn thương. 

• Hệ thống nội bộ của bạn có nhiều nền tảng phần mềm nội bộ và các bản vá cập nhật có thể dễ bị tấn công. 

 Kết Luận 

Tội phạm mạng không có dấu hiệu chậm lại và một cuộc tấn công mạng có khả năng làm tê liệt một tổ chức. Tội phạm mạng liên tục tìm kiếm cách mới để sử dụng lỗ hổng và đánh cắp dữ liệu. 

Như một doanh nghiệp, trong khi bạn dành ngân sách để đầu tư vào biện pháp bảo mật phòng thủ như tường lửa, EDRs (Endpoint Detection and Response), XDR’s (Extended Detection and Response) và Hệ thống Bảo Vệ Xâm Nhập (IPS), có thể cung cấp nền tảng tốt cho bảo mật, bạn cũng nên xem xét việc dành ngân sách để đầu tư vào các đánh giá bảo mật tấn công để đối phó hiệu quả với các mối đe dọa mạng tiềm ẩn. 

Đối với một tổ chức, việc triển khai một phương pháp bảo mật toàn diện bao gồm cả kiểm tra xâm nhập Internal và External rất quan trọng. Cho dù mối đe dọa bắt nguồn từ các nguồn external nhắm vào dữ liệu cá nhân nhạy cảm, hoặc từ các điểm yếu nội bộ có thể bị khai thác, điều quan trọng là tổ chức phải sẵn sàng và trang bị để đối phó với mọi loại sự cố bảo mật, có chủ ý hoặc không chủ ý.