Intern vs ekstern pentest er et af de første valg, virksomheder står med, når de vil teste deres sikkerhed seriøst. Når virksomheder bestiller pentest, kommer spørgsmålet derfor hurtigt: Skal vi vælge en intern eller ekstern pentest?
Valget mellem intern vs ekstern pentest afhænger af, hvilken risiko I vil teste først.
Det korte svar er, at det afhænger af, hvilken risiko du vil teste først. Det længere svar er, at de to typer pentest afdækker forskellige dele af angrebsfladen – og ofte bør ses som komplementære snarere end konkurrerende.
Intern vs ekstern pentest: Hvad er forskellen?
Hvad er en ekstern pentest?
En ekstern pentest simulerer en angriber, der starter udefra internettet. Fokus er typisk på:
- offentligt eksponerede systemer og services
- webapplikationer, VPN, firewalls og fjernadgang
- fejlkonfigurationer, gamle services og eksponeret infrastruktur
Det er en god måde at teste, hvad en angriber kan se og ramme uden at have fodfæste i jeres miljø.
Hvad er en intern pentest?
En intern pentest simulerer derimod en angriber, som allerede har fået et første foothold – for eksempel via phishing, kompromitterede credentials eller en leverandørforbindelse.
Her tester man typisk:
- Active Directory og identiteter
- laterale bevægelser mellem systemer
- privilege escalation
- misconfigurations, for brede rettigheder og svage adgangskontroller
For mange virksomheder er det her, de største overraskelser ligger. Ikke fordi perimeteren er dårlig, men fordi angriberen efter første adgang ofte kan bevæge sig længere, end man tror.
Hvad finder de hver især?
Ekstern pentest er god til at svare på: Kan nogen komme ind udefra?
Intern pentest er god til at svare på: Hvad sker der, hvis nogen allerede er inde?
Begge spørgsmål er relevante. Men hvis dit miljø er moderne, hybridt og bruger cloud, MFA, identiteter og tredjepartsadgang, er det ofte det interne scenarie, der bliver mest forretningskritisk.
Hvad bør man starte med?
Hvis I er tidligt i jeres sikkerhedsarbejde, kan en ekstern pentest være et naturligt sted at starte. Den afdækker åbenlyse eksponeringer og er nem at forstå for både IT og ledelse.
Men hvis I allerede har en rimelig perimeter, eller hvis jeres største risiko handler om identiteter, AD, cloud og privilegier, så vil en intern pentest ofte give mere værdi.
Det gælder især, hvis I arbejder med NIS2, hvor det ikke er nok at have “lukket perimeteren”, hvis en angriber stadig kan bevæge sig frit internt efter første adgang.
Hvor passer NodeZero ind?
NodeZero er særligt stærk i scenarier, hvor man vil teste realistiske angrebsveje internt og på tværs af miljøet. I stedet for kun at identificere enkelte fund viser platformen, hvordan svagheder kan kædes sammen til reelle angrebsstier.
Det gør det lettere at dokumentere risiko, prioritere remediation og reteste efter fix.
Hvis du vil se, hvordan det ser ud i praksis, kan du læse NodeZero i praksis eller vores side om automatiseret penetrationstest.
Skal man vælge intern eller ekstern pentest?
Det ærlige svar er ofte: begge. Men ikke nødvendigvis samtidigt.
- Vælg ekstern, hvis I vil teste interneteksponering og perimeter.
- Vælg intern, hvis I vil forstå konsekvensen af et kompromitteret endpoint eller en kompromitteret konto.
- Vælg en model med løbende validering, hvis I vil reducere blinde perioder mellem testene.
Vil du se et bredere overblik over anbefalinger til angrebsflader og identitetsbeskyttelse, kan du også følge guidance fra CISA.
Konklusion
Ekstern pentest viser, om nogen kan komme ind. Intern pentest viser, hvor galt det kan gå, når de først er inde.
Hvis du er i tvivl om, hvor I får mest værdi først, giver det ofte mening at tage udgangspunkt i jeres vigtigste aktiver, jeres identitetssetup og jeres ændringstempo.
Vil du have hjælp til at vælge rigtigt, kan du booke en kort demo og få en konkret vurdering af, hvordan NodeZero passer ind i jeres miljø.