觀點

[專訪]善用滲透測試服務 確保整體網路安全

2016 / 01 / 28
編輯部
[專訪]善用滲透測試服務 確保整體網路安全

在各種駭客攻擊事件不斷發生的影響下,多數公司都有持續強化資安防禦機制的風險意識,企業內部中都能見到各式防火牆、防毒軟體、入侵偵測,乃至於可以偵測多種惡意威脅的APT防禦設備。儘管如此,全球各地依然持續爆發各種嚴重的資安事件,如2013年底發生知名軟體公司Adobe遭駭客入侵,導致290萬用戶的個資與程式碼外洩,而2014年則有思科、Linksys與Netgear的無線路由器被發現有後門,可能成為駭客竊取資料的最佳管道等等,而臺灣則有多達18家購物網站因為存在應用程式漏洞,導致許多消費者個資被駭客組織竊取,預估整體被詐騙金額高達9000萬以上。

上述種種事件之中,不乏知名國際級的大企業,該公司內部儘管許多資安設備,但是仍然會發生被駭客入侵的事件,代表傳統資安防禦機制仍然無法完全有效抑止資安事件發生。所以唯有透過定時資安健檢的方式,找出公司內部存在的漏洞,才能有效降低被企業入侵的機率,其中又以進行滲透測試的重要性最高。

中華電信資安安全檢測顧問王思翰表示,企業添購各式各樣資安設備,固然能夠減少駭客入侵的事件,但也因為不同資安設備的設定迥異,很容易因為人為設定上的疏忽,衍生出許多管理上的問題。如此一來,很容易發生駭客入侵而不自知,甚至發生駭客組織取得高權限帳號後,輕鬆將機密資料偷偷轉出的狀況,唯有利用滲透測試挖掘出資安防禦機制上的漏洞,才能達到保障企業整體安全的目標。

中華電信資安檢測團隊技術與經驗能力強 備受百家企業肯定

有別於傳統資安設備的被動防禦機制,中華電信資安檢測團隊提供的滲透測試,則是主動模擬真實駭客組織攻擊的手法,全方位測試應用程式、系統潛藏漏洞,以及資安設備設定是否正確,而且在測試完成之後,技術顧問也會依照測試結果提供建議,協助資訊人員修復關鍵漏洞,及提高資安防護部署效率,讓資安設備發揮應有的防禦效果。

中華電信資安檢測團隊的滲透測試分成五大步驟,分別是需求確認、資訊蒐集、弱掃與人工檢測、漏洞利用、結果呈現等階段,而在提供滲透測試服務過程中,資安檢測團隊發現發現企業常見漏洞,分別為黑名單字串過濾造成無效修補、編碼/加密/雜湊運用謬誤、開發者錯把防呆當防護、透過加密/編碼的資料,繞過資安設備防禦、資安設備部署方式錯誤、外緊內鬆的防禦策略、委外開發造成的風險、行動應用程式安全、程式註解與備份造成資訊洩漏、商業邏輯漏洞等等。

王思翰指出,從中華電信資安檢測團隊收集到各種問題,可以發現人為疏失是造成資安事件不斷發生的主因,而滲透測試服務則能夠快速找出相關問題,並且可以快速進行修補。而中華電信資安檢測團隊提供的滲透測試服務,不僅使用多達30多種知名商用弱掃工具與駭客工具,並搭配技術團隊自行開發工具,自然能夠找到企業內部現存的弱點,不僅檢測項目超過百項以上,而且所有技術顧問更全數通過CEH國際認證,能夠提供企業最完善的服務。

技術顧問陣容龐大 提供完整資安服務

中華電信資安團隊陣容非常龐大,一共多達140人,其中博士2人、碩士115人以及學士23人,共取得286張專業技術證照,有充足的專業技術支援能量,能夠提供全國各地企業用戶最完善的資安服務,日前更獲得行政院國家資通安全會報技服中心103年評鑑唯一特優等級的肯定,足見技術能量絕對遠遠超過其他業者,目前合作客戶已經超過百家以上。

中華電信長年來也持續通過ISO27001、ISO20000認證,以便能夠保護客戶資料,快速回應客戶的需求。如中華電信SOC團隊便於2006年5月3日通過BSI ISO27001認證,而數據分公司則在2012年8月通過「ISO/IEC 27001資訊安全管理系統」暨NCC「ISO/IEC 27011增項認證」,特別是中華電信在2014年6月成為全世界第一家電信業者取得「雲端安全聯盟Cloud SecurityAlliance(CSA)」STARLevel 2雲端資安銀級認證的業者,並於2015年完成ISO27001:2013轉版,能夠讓臺灣企業在享受完善雲端服務之餘,資料亦能能夠獲得非常完善的保護。

王思翰表示, 中華電信資安團隊服務廣泛,除了SOC服務 、社交工程郵件服務 hiWAF服務、 APT 、DDOS防禦等產品,檢測業務就有滲透測試、網頁/主機弱點掃描、行動App檢測、源碼檢測、資安健診,對各種弱點特性熟悉,能夠提供企業最完善服務。而資安檢測團隊也建議在定時進行資安健檢之外,資安人員也必需要依照技術顧問提供的建議,進行漏洞修補與設定調整,才能真正減少資安事件的發生。


弱點掃描VS滲透測試

鑑於各種應用服務的規模愈來愈愈大,資訊架構也比過去更為複雜,所以市面上有不少業者推出弱點掃描工具,即是利用各種自動化工具對資訊系統進行檢測,找出所有已知的漏洞與風險。同時,近來許多資安公司推出的滲透測試服務,則是利用資安顧問的經驗、技術能力,搭配市面上各種常見的攻擊工具與弱點掃描工具,模擬駭客組織的攻擊手法,針對資訊系統全方位的測試,藉此出應用服務或資訊架構的所有問題,並且提供後續建議修復方式,減少應用服務或資訊系統被攻破的機率。

差異表建議如下: