Sự khác biệt giữa thăm dò chủ động và thụ động trong lĩnh vực IT

Thật khó để làm việc trong ngành công nghệ mà không nhận thức được hàng loạt các vi phạm an ninh cấp cao đang khiến các tập đoàn tốn kém hàng triệu đô la và khiến các CIO (Giám đốc Công nghệ Thông tin) phải thức đêm suy nghĩ.

Sự phát triển của thăm dò chủ động và thụ động là một phương thức tấn công mạng trang bị cho tin tặc một công cụ cho phép chúng biết được tình trạng của một công ty với thông tin có sẵn và cả trên đám mây - mà đôi khi không bị phát hiện. Điều này có nghĩa là ngay cả khi không có cuộc tấn công mạng nào thực sự xảy ra, một cuộc tấn công do thám có thể đã phát hiện ra rằng hệ thống phòng thủ không gian mạng của bạn dễ bị tấn công, và rất dễ có một cuộc tấn công xảy ra.

Hơn thế nữa, không chỉ các doanh nghiệp lớn mới dễ bị tổn thương. Khi đổi mới kỹ thuật số đang bùng nổ phạm vi toàn cầu, các doanh nghiệp vừa và nhỏ cũng thực hiện chuyển đổi kỹ thuật số. Các chuyển đổi được chuẩn bị kém kết hợp với việc sử dụng các công cụ bảo mật không đúng hoặc không đầy đủ có thể gây ra sự yếu kém, khiến các ứng dụng không được sử dụng và dữ liệu của chúng dễ bị tổn thương. Kết hợp với sự tiến bộ của các bot giúp quét ứng dụng kinh doanh để tìm kiếm các lỗ hổng như vậy thì mọi người đều có thể là mục tiêu.

Các cuộc tấn công mạng đang gia tăng, các thực tiễn kiểm tra vấn đề đạo đức đang ngày một phát triển. Ở đây, chính các phương thức mà tin tặc sử dụng để thăm dò các mục tiêu tiềm năng được sử dụng bởi những người thử nghiệm chuyên nghiệp được thuê để kiểm tra các lỗ hổng. Về lý thuyết, điều này cho phép tổ chức sau đó giải quyết mọi lỗ hổng hay điểm yếu trước khi chúng bị khai thác bởi các tin tặc độc hại.

Chúng hoạt động như thế nào

Việc thăm dò bắt nguồn từ thuật ngữ quân sự mô tả một nhiệm vụ thu thập thông tin vào lãnh thổ thù địch. Mục đích của nó chỉ đơn giản là có được thông tin, thay vì chủ động khai thác mục tiêu. Như vậy, nó có thể thăm dò tùy ý. Sau khi thăm dò thành công và tùy thuộc vào thông tin thu thập được, các hành động để khai thác mục tiêu sẽ có thể được triển khai.

Điều này là tương đồng với CNTT. Mặc dù từ góc độ của các tổ chức, việc thăm dò chủ động và thụ động hoạt động theo nguyên tắc của vắc-xin vì nó giúp chủ nhà tăng cường phòng thủ trước các cuộc tấn công trong tương lai.

Nói một cách đơn giản, thăm dò tích cực là quá trình kiểm tra một hệ thống máy tính nhằm xác định các điểm yếu kỹ thuật có thể được sử dụng để truy cập nó. Thông tin hệ thống được sử dụng để có quyền truy cập trái phép vào các tài liệu được bảo vệ, xâm nhập vào bất kỳ tường lửa hoặc bộ định tuyến nào. Tin tặc sau đó chủ động lập bản đồ cơ sở hạ tầng mạng, sử dụng các công cụ như NSLookup để xác định máy chủ. Một khi chúng tìm thấy, chúng sẽ quét cổng  để phát hiện bất kỳ lỗ hổng tiềm năng nào. Do đó, các rào cản bảo mật đã được thực hiện, với khả năng kháng thông tin được chuyển tiếp trở lại cho tin tặc.

Mặt khác, thực hiện thăm dò thụ động không cần phải tiếp xúc với bất kỳ cơ sở hạ tầng nào, cho phép tin tặc vượt qua các chướng ngại vật tiềm năng. Thăm dò giúp xác định mục tiêu - chi tiết về công ty, đối tác và nhân viên, công nghệ đang sử dụng, thông tin IP, vv… - sau đó rút lui với thông tin đối chiếu.

Sẽ không có dấu vết nào vì thường các trang web được trình duyệt như một người dùng thông thường. Bằng chứng duy nhất về sự hiện diện của hacker sẽ là trong dữ liệu phân tích, tuy nhiên, không có điểm báo động nào được nêu ra, chúng sẽ không xuất hiện trong nhật ký bảo mật. Sử dụng các công cụ như Wget, tin tặc có thể duyệt một trang web ngoại tuyến, phân tích nội dung để tiết lộ phần cứng, hệ điều hành và thông tin liên hệ. Các phương pháp thăm dò thụ động phổ biến khác bao gồm tìm kiếm google nâng cao, điều khiển cuộc chiến, sàng lọc thông tin được lưu trữ trên các thiết bị bị loại bỏ và mạo danh người dùng.

Sự khác biệt và trường hợp sử dụng phổ biến

Sự khác biệt cơ bản trong phương pháp là trong khi thăm dò chủ động liên quan đến việc có mặt trên mạng hoặc máy chủ mục tiêu, để lại dấu vết trong sự đánh thức của tin tặc, thì thăm dò thụ động có liên quan đến việc không thể truy cập được. Máy tính và mạng vẫn được nhắm mục tiêu, nhưng chủ yếu là không tham gia tích cực vào các hệ thống hoặc cơ sở hạ tầng. Sau đó, một vài manh mối còn lại dẫn đến địa chỉ IP.

Sự khác biệt trong phương pháp mang lại kết quả khác nhau. Thăm dò tích cực sẽ rủi ro hơn (từ quan điểm của hacker độc hại), nhưng nhìn chung thông tin hữu ích hơn sẽ được thu thập. Thăm dò thụ động mang ít rủi ro hơn, tuy nhiên, nó kém tin cậy hơn một chút, có thể tốn thời gian và thường ít bị phát hiện hơn.

Mặc dù có những hạn chế, đối với nhiều tin tặc, thăm dò thụ động là phương pháp được lựa chọn vì chúng ít có khả năng bị phát hiện. Nếu thành công, tin tặc không thể bị buộc tội và tổ chức sẽ không được cảnh báo, và sẽ để lại lỗ hổng mở cho một cuộc tấn công mạng tiếp theo. Chuẩn bị kỹ lưỡng là cần thiết cho thăm dò tích cực vì dấu vết nó để lại có thể được sử dụng làm bằng chứng chống lại tin tặc trong cuộc điều tra kỹ thuật số. Do đó, việc thực hiện thăm dò thụ động được xem là lựa chọn đơn giản hơn, mặc dù nó khá tốn thời gian.

Những người kiểm tra có thể sẽ thực hiện bao gồm cả hai phương pháp để cung cấp một cái nhìn tổng quan về bảo mật không gian mạng của tổ chức. Các lỗ hổng được báo cáo và sau đó tổ chức sẽ bắt đầu khắc phục chúng. Các tổ chức có thể tăng cường tường lửa ứng dụng web (WAF), biện pháp bảo vệ toàn diện nhất trước các cuộc tấn công mạng. WAF mạnh sẽ linh hoạt để thích ứng với nhu cầu của tổ chức và bảo mật để bảo vệ các ứng dụng cả trên đám mây và tại cơ sở.