Sự khác biệt giữa scan Agent-Based và scan Network-Based

Trong nhiều năm qua, hai phương pháp phổ biến nhất để scan nội bộ: agent-based và network-based được cho là có giá trị ngang nhau, mỗi phương pháp có những ưu điểm riêng. Tuy nhiên, trong khi làm việc từ xa đang trở thành tiêu chuẩn ở hầu hết mọi nơi làm việc, có vẻ như scan Agent-based là một điều bắt buộc và scan Network-based là một tùy chọn bổ sung.

Tại sao nên rà quét lỗ hổng nội bộ?

Mặc dù external vulnerability scanning (scan lỗ hổng từ bên ngoài) có thể cung cấp cái nhìn tổng quan về hệ thống của bạn dưới góc nhìn của kẻ tấn công bên ngoài, nhưng thông tin thu thập được có thể bị hạn chế. Một số lỗ hổng nghiêm trọng có thể được phát hiện ở giai đoạn này, vì vậy nó là điều bắt buộc đối với nhiều tổ chức, nhưng tin tặc chưa dừng lại ở đó.

Các kỹ thuật như lừa đảo, phần mềm độc hại có chủ đích và các cuộc tấn công khai thác lỗ hổng đều góp phần vào nguy cơ ngay cả khi các hệ thống bên ngoài của bạn được bảo mật, bạn vẫn có thể bị tội phạm mạng xâm nhập. Một hệ thống có vẻ an toàn từ góc độ black-box có thể phát hiện các lỗ hổng nghiêm trọng khi kiểm tra sâu hơn vào hệ thống và phần mềm đang chạy.

Đây là khoảng trống mà quá trình rà quét lỗ hổng nội bộ có thể lấp đầy. Bảo vệ từ bên trong cung cấp lớp bảo vệ thứ hai, giúp tổ chức của bạn có khả năng chống lại vi phạm cao hơn đáng kể. Vì vậy, nó cũng được coi là điều bắt buộc đối với nhiều tổ chức.

Scan Agent-Based và Scan Network-Based

Nói chung, khi nói đến việc xác định và khắc phục các lỗ hổng trong mạng nội bộ, có hai cách tiếp cận cạnh tranh (nhưng không loại trừ lẫn nhau): scan agent-based và scan network-based.

Scan network-based là cách tiếp cận truyền thống hơn, sử dụng một thiết bị quét nằm trên cơ sở hạ tầng hoặc trên máy ảo trong cloud nội bộ của bạn.

Scan agent-based là cách tiếp cận hiện đại hơn, cài đặt các agent trên mỗi thiết bị để quét và báo cáo với máy chủ trung tâm.

Dưới đây là so sánh giữa 2 phương pháp scan dựa trên một số tiêu chí

Coverage (tính bao phủ)

Agent không thể được cài đặt trên tất cả mọi thứ. Các thiết bị như máy in; bộ định tuyến và thiết bị chuyển mạch hay phần cứng chuyên dụng khác như HP Integrated Lights-Out, có thể không có hệ điều hành được hỗ trợ bởi agent. Tuy nhiên, chúng sẽ có địa chỉ IP, vì vậy bạn vẫn có thể scan network-based đối với các thiết bị này.

Tuy nhiên, việc scan mọi thứ mang lại bao nhiêu giá trị cho những nỗ lực ngăn chặn vi phạm? Những máy in và thiết bị HP iLO thường có thể có lỗ hổng và chỉ một số trong đó là nghiêm trọng. Chúng có thể hỗ trợ kẻ tấn công đã xâm nhập vào mạng của bạn, nhưng phần lớn, nó không thể giúp kẻ tấn công xâm nhập vào mạng từ đầu.

Trong khi đó, chi phí quản lý và thực hiện toàn bộ quá trình cũng là một vấn đề đáng chú ý. Một số tổ chức không có nhiều nguồn lực phải đưa ra quyết định phù hợp dựa trên quy mô nhóm và ngân sách hiện có.

Cần cân nhắc lợi ích của việc scan tất cả so với khối lượng công việc mà nó đòi hỏi xem có phù hợp với tổ chức của bạn tại thời điểm hiện tại không.

Ở góc độ khác, scan network-based có thể quét mọi thứ trên mạng, nhưng những thiết bị không có trên mạng của bạn sẽ không được scan?

Một số máy tính xách tay của công ty có thể không được đặt ở văn phòng hay đối với những công ty cho phép làm việc từ xa, scan network-based sẽ không thể thực hiện nếu thiết bị không có trên mạng nội bộ, nhưng với tính năng scan dựa trên agent, bạn có thể giám sát ngay cả khi chúng ở bên ngoài.

Vì vậy, nếu không sử dụng scan agent-based, bạn có thể để lại cho kẻ tấn công một con đường để xâm nhập vào trong mạng công ty của bạn.

Ví dụ: một máy tính xách tay chưa được vá lỗ hổng có thể duyệt qua một trang web độc hại hoặc mở một tệp đính kèm độc hại chắc chắn hữu ích hơn đối với kẻ tấn công so với một máy in đang chạy dịch vụ sử dụng mã hóa yếu.

Kết luận: Agent-based scanning có ưu thế hơn vì nó cho phép scan rộng hơn, bao gồm trên các thiết bị không thuộc mạng của bạn - điều quan trọng trong bối cảnh kết hợp giữa văn phòng và làm việc từ xa.

Nếu đang tìm cần một công cụ scan dựa trên agent, Intruder là một công cụ quét hàng đầu được các ngân hàng và chính phủ trên toàn thế giới sử dụng. Bạn có thể dùng thử miễn phí dịch vụ scan lỗ hổng nội bộ của Intruder bằng cách truy cập trang web của họ.

Attribution (theo dõi khắc phục)

Trên các mạng IP cố định như máy chủ nội bộ hoặc các môi trường tiếp xúc với bên ngoài, việc xác định vị trí áp dụng các bản vá cho các lỗ hổng trên một địa chỉ IP cụ thể là tương đối đơn giản.

Tuy nhiên, trong các môi trường mà địa chỉ IP được tùy chỉnh (ví dụ, môi trường người dùng cuối được cấu hình như vậy để hỗ trợ máy tính xách tay, máy tính để bàn và các thiết bị khác), điều này có thể gây ra vấn đề không nhất quán giữa các báo cáo hàng tháng và gây khó khăn cho việc theo dõi quá trình khắc phục.

Báo cáo là một thành phần quan trọng của hầu hết các chương trình quản lý lỗ hổng bảo mật.

Trong các môi trường thay đổi như vậy, việc sử dụng các agent được liên kết duy nhất với mỗi thiết bị giúp việc kiểm tra, theo dõi và báo cáo về hoạt động khắc phục hiệu quả và đơn giản hơn.

Kết luận: Agent-based scanning chiếm ưu thế vì nó cho phép kiểm tra và báo cáo hiệu quả quá trình khắc phục sau khi scan.

Discovery (khám phá, phát hiện)

Tùy thuộc vào quy mô của môi trường, khả năng hiểu rõ về những gì thực sự trong mạng của bạn ngay từ đầu có thể rất tốt hoặc rất kém.

Một lợi thế chính của việc scan network-based là bạn có thể phát hiện ra những tài sản mà bạn không biết là mình có. Quản lý tài sản là tiền thân của việc quản lý lỗ hổng bảo mật hiệu quả. Bạn không thể bảo mật nó nếu bạn không biết mình có nó!

Sau khi phát hiện các thiết bị trên mạng, bạn cũng cần dành nguồn lực để điều tra xem chúng là gì và theo dõi chủ sở hữu của chúng. Tuy nhiên, không phải tất cả thiết bị đều cần được theo dõi. Cần xác định mức độ ưu tiên để thực hiện.

Kết luận: Network-based scanning chiếm ưu thế nếu bạn có thời gian và nguồn lực để quản lý những gì được phát hiện.

Deployment (triển khai)

Các mạng Windows đơn giản cho phép triển khai dễ dàng các agent thông qua cài đặt Group Policy.

Tuy nhiên, khi có nhiều hệ điều hành đòi hỏi quá trình triển khai phải được điều chỉnh kỹ lưỡng để đảm bảo các thiết bị mới được triển khai các agent đã được cài đặt hoặc nhanh chóng được cài đặt sau khi đưa lên mạng.

Mặt khác, việc triển khai các thiết bị dựa trên network đòi hỏi phải phân tích khả năng hiển thị của mạng, tức là từ vị trí "này" trong mạng, liệu chúng ta có thể "nhìn thấy" mọi thứ khác trong mạng để công cụ scan có thể rà quét mọi thứ không?

Việc thiết kế một kiến ​​trúc scan dựa trên network dựa vào tài liệu và hiểu biết chính xác về mạng, điều này thường là một thách thức, ngay cả đối với các tổ chức có nguồn lực tốt.

Kết luận: Tuy thuộc vào môi trường và mức độ phức tạp của kiến ​​trúc mạng để triển khai giải pháp scan phù hợp với tổ chức của bạn.

Maintenance (bảo trì)

khi bất kỳ VLAN mới nào được triển khai hoặc các thay đổi về firewall và routing làm thay đổi bố cục của mạng, các thiết bị quét cần được đồng bộ với bất kỳ thay đổi nào được thực hiện.

Đôi khi các thiết bị scan được đặt ở những nơi rất khó để bảo trì vật lý như một một trung tâm dữ liệu hoặc một văn phòng/chi nhánh tại địa phương. Điều này có thể tạo thêm phiền phức cho nhóm bảo mật.

Kết luận: Agent-based scanning chiếm ưu thế vì nó dễ bảo trì hơn nhiều sau khi được cài đặt.

Concurrency and scalability (hiệu năng)

Việc scan mọi thứ từ điểm trung tâm nghe có vẻ đơn giản nhưng chỉ đối với một mạng đơn giản (quy mô nhỏ).

Một thiết bị quét tập trung không thể quét đồng thời một số lượng lớn các máy. Bạn có thể phải đợi vài giờ hoặc lâu hơn để qua trình scan được hoàn tất.

Một số trường hợp, cơ sở hạ tầng mạng có thể bị tạm dừng khi thực hiện scan tất cả thiết bị trên toàn mạng.

Mặt khác, scan agent-based sẽ phân tán công việc cho các máy riêng lẻ, vì vậy giảm bớt tải cho mạng và thu được kết quả nhanh hơn.

Intruder tự động scan các hệ thống nội bộ ngay sau khi các lỗ hổng bảo mật mới được phát hành, cho phép bạn phát hiện và loại bỏ các lỗ hổng bảo mật trong các hệ thống bị lộ nhiều nhất của mình một cách kịp thời và hiệu quả.

Kết luận: Agent-based scanning chiếm ưu thế vì có thể scan đồng thời nhiều thiết bị và thu

Tổng kết

Đối với những tổ chức đang trong hành trình bảo mật thông tin, mong muốn triển khai các giải pháp rà quét lỗ hổng bảo mật, đây là một số khuyến nghị thêm:

Bước 1 - Đảm bảo quá trình perimeter scanning được thực hiện chủ động và liên tục. Hệ thống của bạn tiếp xúc với internet 24/7 và vì vậy, không có lý do gì để các tổ chức không phản ứng nhanh với các lỗ hổng nghiêm trọng.

Bước 2 - Tập trung vào môi trường người dùng của bạn. Với tiêu chuẩn mới là làm việc từ xa, bạn cần có khả năng theo dõi tất cả các máy tính xách tay và thiết bị, dù chúng ở bất cứ đâu.

Bước 3 - Các máy chủ nội bộ, thiết bị chuyển mạch và cơ sở hạ tầng khác của bạn sẽ là tuyến phòng thủ thứ ba và đây là nơi mà quá trình scan thiết bị mạng nội bộ có thể tạo ra sự khác biệt. Các lỗ hổng nội bộ không thể dùng để xâm nhập, nhưng nó có thể giúp những kẻ tấn công leo thang đặc quyền và hoạt động bên trong mạng của bạn, vì vậy bạn nên tập trung vào đây cuối cùng.

Nguồn: thehackernews.com.