לדלג לתוכן

בדיקת חדירות חיצונית מול פנימית - שני עולמות שונים לגמרי

אחת השאלות הראשונות שכדאי להבין כשנכנסים לתחום בדיקות החדירות היא ההבדל בין בדיקה חיצונית לפנימית. זה נשמע כמו הבדל טכני קטן, אבל בפועל מדובר בשני תרחישי חשיבה שונים לגמרי, עם כלים, טכניקות, ואפילו סוג של חשיבה שונה.

בדיקת חדירות חיצונית - מה שכל העולם רואה

בדיקת חדירות חיצונית בודקת את מה שחשוף לאינטרנט - אתרים, שרתי מייל, VPN, ממשקי ניהול מרוחקים, ושירותים ציבוריים אחרים. נקודת המוצא היא שהתוקף לא נמצא ברשת הארגון, אין לו שום גישה מוקדמת, והוא מתחיל בדיוק כמו כל תוקף אמיתי מהאינטרנט הפתוח.

השלבים הטיפוסיים הם רקון פסיבי מקיף (מיפוי דומיינים, חיפוש מידע פומבי, גילוי נכסים חשופים), סריקה אקטיבית לזיהוי שירותים ופורטים פתוחים, ואז ניסיון ניצול בפועל - חולשות 1day בתוכנות לא מעודכנות, ברוטפורס סיסמאות על ממשקי כניסה חשופים, או ניצול חולשות באפליקציות ווב.

המטרה הסופית בבדיקה חיצונית היא לרוב להשיג "דריסת רגל ראשונית" - כל נקודת כניסה כלשהי לרשת הפנימית של הארגון. גם חולשה אחת קטנה בשירות חיצוני שכוח יכולה להספיק כדי לפתוח את הדלת פנימה.

בדיקת חדירות פנימית - מה שקורה אחרי שכבר נכנסים

בדיקת חדירות פנימית מדמה תרחיש אחר לגמרי - תוקף שכבר יש לו גישה כלשהי לרשת הפנימית של הארגון, בין אם דרך עמדת עבודה שנפרצה, הנדסה חברתית, או כל דרך אחרת. השאלה שהיא בודקת היא לא "האם אפשר להיכנס", אלא "מה תוקף יכול לעשות ברגע שהוא כבר בפנים".

זה בדיוק המקום שבו נכנסת לתמונה תקיפת Active Directory ברוב הארגונים הבינוניים והגדולים. הסלמת הרשאות במחשב בודד היא רק ההתחלה - האתגר האמיתי הוא תנועה רוחבית ברשת, דרך טכניקות כמו Pass the Hash ו-NTLM Relay, וניסיון לזהות נתיב שמוביל משליטה על מחשב בודד לשליטה על הדומיין כולו, כולל טכניקות מתקדמות יותר כמו Kerberoasting, חטיפת ACL, ובמקרים חמורים DCSync.

למה ההבדל הזה כל כך משמעותי

הפער בין השתיים משקף משהו אמיתי על עולם התקיפה - רוב הפריצות האמיתיות והחמורות ביותר לא נגמרות בהשגת דריסת רגל ראשונית, הן רק מתחילות שם. תוקף אמיתי שמצליח לפרוץ שרת חיצוני יחיד לא מסתפק בזה, הוא ממשיך פנימה כדי להגיע למידע רגיש, מסדי נתונים, או שליטה מלאה על התשתית.

זו הסיבה שרוב הארגונים הרציניים לגבי אבטחה מזמינים את שני סוגי הבדיקות, ולא רק אחת מהן. בדיקה חיצונית בלבד מראה רק חצי מהתמונה - אולי אין דרך פשוטה להיכנס מבחוץ, אבל זה לא אומר שהרשת הפנימית מוגנת אם תוקף כבר נכנס דרך פישינג או USB נגוע.

אילו כישורים דורשת כל אחת

בדיקה חיצונית דורשת חוזק בסריקה, זיהוי חולשות 1day, והבנה טובה של אפליקציות ווב. בדיקה פנימית דורשת הבנה עמוקה יותר של מערכות הפעלה, פרוטוקולי רשת, ובעיקר Active Directory - זה תחום שדורש למידה ייעודית ומעמיקה, כי מורכבות הדומיין גדולה משמעותית מבדיקת אתר בודד.

בדרך כלל, מתחילים לומדים קודם את יסודות הבדיקה החיצונית, כי היא יותר אינטואיטיבית וממוקדת, ורק אחר כך עוברים להעמקה בבדיקה פנימית ותקיפת דומיינים, שדורשת יותר בסיס ומצטברת יותר.

איך לומדים את שני הכיוונים נכון

קורס בודק חדירות שלי בנוי בדיוק בסדר הזה - פרק שלם על תקיפה חיצונית, ואחריו פרקים נפרדים ומעמיקים על תקיפת לינוקס, ווינדוס, ושלוש רמות שלמות של תקיפת דומיין (בסיסית, נפוצה ומתקדמת), כדי שתבינו את התמונה המלאה, לא רק חצי ממנה.

לסיכום

בדיקה חיצונית ופנימית הן לא שני גרסאות של אותו תהליך, הן שני שלבים משלימים בתמונה מלאה של איך תוקף אמיתי פועל. מי שרוצה להיות בודק חדירות מקצועי צריך לשלוט בשתיהן, כי לקוח אמיתי לרוב חשוף בשני החזיתות בבת אחת.

בואו לדבר על תקיפה חיצונית ופנימית עם אנשים שמתרגלים את זה כרגע.

הצטרפו לקהילה בדיסקורד