首頁 > 資安知識庫 > 系統與平台安全 > 弱點與修補管理及更新

知己知彼 百戰百勝-弱點掃描及滲透測試的重要

作者:翁浩正 -2014 / 01 / 10 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

還記得六、七幾年前,在新聞上出現的駭客,多半是學生一時興起,為了線上遊戲的寶物、或是對駭客技術有興趣而越過那條不能越過的線。而現在跟駭客有關的新聞比電影還精采,例如大規模盜取金流、破解安全加密演算法、檔案惡意加密勒索,甚至是攻擊國家基礎建設、國與國之間的資訊戰等。資安的新聞的數量也從一個月一則,變成一天好幾則。知名駭客、駭客組織的一舉一動,也都成為國際資安趨勢的風向球。身為防禦者的我們一定想知道:攻擊者是誰?為什麼他要攻擊?他要攻擊什麼?什麼時間點發動攻擊?從哪裡攻擊?他會如何攻擊?如果懂得駭客的思維,或許還能一窺駭客的神祕面貌。

弱點掃描與滲透測試的差異
面對駭客的威脅,我們的應對措施可以分成很多層面。我們今天來談談一般常見的「滲透測試 Penetration Test」以及「弱點掃描 Vulnerability Assessment」。「滲透測試」是由具備極高技術水準的資安顧問以人工方式模擬駭客的思維,針對系統做攻擊測試。國際常用的測試規範有 OWASP Checklist、OWASP ASVS、CWE/SANS Top 25 這幾種。滲透測試比較依賴資安顧問本身的經驗以及知識,站在跟駭客同一個出發點對系統進行測試,因此更能準確的找出所有問題並進行修復。但因滲透測試是非常細微的測試,無法一次做大規模站台的檢測。「弱點掃描」則是使用自動化工具對系統進行檢測,找出所有已知的風險。這種測試比較依賴程式本身的品質,不同廠牌、不同種類的規則,都會有不同的結果。因為是程式自動化掃描,可以一次做大規模數量的掃描,但也因為程式自動化,恐有誤報的問題,同時可能也無法提供修補建議。若要做完整的資安檢測,還是建議聘請專業資安團隊進行滲透測試。

看到這裡,許多人應該會產生疑問:滲透測試真的有效嗎?如同前面所述,滲透測試非常依賴測試人員本身的資安素養以及專業知識。如果本身對資訊安全有深入的研究、發掘漏洞,並時時瞭解最新攻擊手法,那測試出來的結果也會較為準確。但是,近年來在台灣業界的削價競爭之下,滲透測試的品質也跟著犧牲了。可以參考資安人 2011 年九月的專文:「評選滲透測試廠商-從一分錢一分貨到充斥著謊言的廉價市場」。摘錄一段很沈重卻又很真實的描述,「在企業還搞不清楚各項資安服務有何差別時,資源已經在各種原因的驅動下投入,當然,在混戰中,也有些廠商以滲透測試之名行弱點掃描之實。近兩、三年來,在政府、金融等產業的一窩蜂投入下,整個 PT 產業的品質開始低落,有些企業甚至搞不清楚,弱點掃描與滲透測試的真正差別在哪裡?」
......《未完》
如欲閱讀完整內容,請成為《進階會員》

推薦此文章
79
人推薦此新聞
文章回應話題
guest 發表於: 2014 / 02 / 13
我都用這套掃描我的網站,有免費版 全中文介面, 說明, 掃描也相當完整

http://www.freewebscan.com
1337 發表於: 2014 / 01 / 14
某法人單位與某政府資安單位都有責任吧!
Zero 發表於: 2014 / 01 / 14
超有水準的,真不愧是專業資安公司Dev/Core的CEO!
Neil 發表於: 2014 / 01 / 12
終於在台灣媒體上看到對資安具有國際水平的文章。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…