×

滲透測試服務是什麼?

滲透測試服務 (Penetration Test, PT) 是委請受信任的第三方專業資安團隊,從駭客的角度出發,模擬攻擊者的思考方式對企業進行各種入侵攻擊測試。

滲透測試執行期間,資安專家會以駭客思維嘗試入侵該企業的網站、網路系統、儲存設備等軟硬體,找出各種潛在的漏洞,以驗證企業的設備與資料是否可被破壞或竊取,同時也評估資訊系統與硬體的全盤架構,確認其安全性是否有待加強。

滲透測試結束後,專家會列出詳細的攻擊手法與步驟,提供完整的修補建議並輔導開發者修補漏洞,讓企業能儘速降低遭受入侵的風險。開發者修補完畢後,資安團隊會再次確認是否可使用其他手法繞過防護,以確保企業不會因為同樣的問題遭受損失。

為何企業需要滲透測試服務?

駭客攻擊就像生活中的病毒,隨時隨地都有可能接觸到並且遭受感染。而滲透測試如同健康檢查,若企業能定時執行深層的資安健檢,面對各種攻擊時即可提高存活的機率。

若您的企業、網站有機密外洩、個資外洩等疑慮,或是開發完畢的新系統需要上線,又或者開發中的系統需要做局部安全測試,都適合導入滲透測試進行安全檢測。

在面對網路上的眾多駭客之前,先行做好防禦措施,才能保證系統的每個環節都經得起駭客的挑戰,進而鞏固客戶對企業的信賴。

滲透測試與弱點掃描有何差異?

滲透測試需由經驗豐富的資安專家手動進行,測試過程中專家會利用不同的弱點進行組合式攻擊,驗證是否有任何方式可突破當前網站的防禦。滲透測試為求仔細,通常需要費時多天才能完成,因此耗費的人力成本較高。

弱點掃描可由自動化掃描軟體在較短的時間內執行完畢,因此時間與金錢成本相對較低。但是弱點掃描僅能檢測既有的漏洞,無法及時檢測出最新的資安漏洞並給予修補建議,同時對於弱點的誤判率也較高。目前滲透測試為求完整,通常已將弱點掃描包含在內。詳細的關係圖與比較表如下所示:

滲透測試與弱點掃描

滲透測試 Penetration Test

  • 執行方式
    專業技術顧問手動進行
  • 門檻
    高,測試者需要經驗與專業知識
  • 流量
  • 誤判率
    低,專家可驗證該弱點之利用方式與價值
  • 創造力
    高,專家可能在檢測過程中找到無人發現的新弱點
  • 報告內容
    專家會列出詳細攻擊手法,並提供客製化的專業修補建議
  • 成本
    高,通常金額是弱點掃描的數倍

弱點掃描 Vulnerability Assessment

  • 執行方式
    自動化工具
  • 門檻
    低,工具安裝完畢即可執行
  • 流量
  • 誤判率
    高,工具無法確認該弱點是否可被利用
  • 創造力
    低,僅能根據規則發現已知弱點
  • 報告內容
    僅陳列弱點報表,通常不包含修補建議
  • 成本
    低,有低價的商業工具或免費工具

自動測試與人工測試有何差異?

自動測試與人工測試的差異主要有下列幾項:

即時性

自動測試的檢測規則需要定期更新,若軟體尚未更新或已過期,就無法檢測出最新的漏洞。在專家的人工測試之下,則不會有此狀況發生。

準確率

自動測試的結果通常有為數不少的誤報,因此需要有專家驗證滲透測試報告的內容。雖然某些滲透測試軟體的檢測準確率有一定水準,但通常其價格也較貴。而人工滲透測試所找出來的弱點都是 100% 確定可利用的,不會有誤報的狀況。

檢測深度

自動測試僅能依照既有規則對資訊系統進行檢測,無法將檢測到的弱點加以組合。而具備駭客思維的資安專家,則可利用多個弱點進行組合式攻擊,往往會發現能造成重大危害的潛在漏洞。

商業邏輯判斷

程式無法判斷邏輯漏洞。以下圖內容為例,網站會員在查詢自己的個人資料時,網址可能會帶有與帳號相關的參數(如圖 1),然而攻擊者可能會將網址的 id=101 改成圖 2 的 id=102,觀察網站是否會顯示其他使用者的個人資料。若能成功看到其他使用者的資料,則代表有邏輯漏洞。這類型的邏輯漏洞,只能靠人工的方式找出,而無法用自動化滲透測試工具掃描。

圖 1:原始會員資料
原始會員資料
圖 2:駭客篡改 id 後得到其他使用者的個人資料
駭客篡改 id 後得到其他使用者的個人資料

滲透測試有無相關規範?

檢測的服務項目會包括網路掃描、弱點掃描、滲透測試三大層面,並且遵循下列國際標準:

滲透測試執行流程有哪些?

確認專案需求

  1. 啟動專案起始會議,瞭解客戶需求
  2. 確認作業方式與執行規範
  3. 簽署合約取得合法滲透授權

資訊蒐集與分析規劃

  1. 蒐集該目標之公開資訊
  2. 分析與規劃滲透方式(包含 OWASP 與 OSSTMM 等國際規範)
  3. 準備對應之滲透測試工具與設備

執行滲透測試

  1. 資料洩漏
    • 測試是否有敏感資料或系統訊息洩漏
  2. 弱點測試
    • 掃描該目標已知弱點
  3. 建立滲透途徑
    • 配合已蒐集之資訊嘗試各項滲透方式
  4. 安全漏洞滲透
    • 作業系統安全漏洞滲透
    • 應用軟體安全漏洞滲透
    • 網站邏輯漏洞滲透
    • 密碼破解
  5. 信任關係測試
    • 測試主機間的信任關係
  6. 權限跳脫與提升
    • 嘗試攻擊與擴張權限
    • 鎖定特定弱點之攻擊
    • 試圖取得系統更高權限
    • 撰寫客製化滲透工具攻擊特定弱點
    • 滲透內網其他主機(需取得客戶授權)

滲透測試報告

  1. 評估各弱點潛在威脅、損害程度
  2. 撰寫各弱點修補方式
  3. 遞交測試結果報告
  4. 提供客戶弱點修正顧問咨詢
  5. 擬定定期執行安全稽核計劃

簡報與文件交付

  1. 針對專案結果進行簡報並交付相關文件

滲透測試執行結果是什麼?

初次滲透測試執行完畢後,資安專家會依照所發現的漏洞評估災情,根據嚴重程度分級,詳細列出攻擊步驟,並給予完整的修復建議,輔導企業修補漏洞。待企業修補完畢後,資安專家會再次驗證該漏洞是否已正確修復,若發現能利用其他手法再次繞過,則會回報給企業,請開發者再次進行修補。執行結果報告內容可參考此下圖:

滲透測試報告範本

若需要詳細的滲透測試報告範本,歡迎您來信索取。

其他滲透測試常見問答

  • 滲透測試有什麼前置作業嗎?

    戴夫寇爾與委託者會溝通測試執行時間,基本上以上班時間為準,以便發現重大漏洞時可請企業開發人員及時修補。同時也會告知測試來源 IP,以便企業分辨測試來源是否合法,避免同時遭到入侵攻擊而未發覺。

  • 滲透測試需要多久的時間?

    根據不同系統的規模大小而訂,通常單一網站從初測、修補到複測,至少需要一個月的時間。

  • 滲透測試包含社交工程與 DDoS 嗎?

    為避免影響企業正常營運,除非客戶特別要求,否則戴夫寇爾的滲透測試不會包含社交工程與 DDoS。

  • 滲透測試過程中會不會影響我的其他主機?

    若無取得合法授權,戴夫寇爾不會對授權目標之外的主機進行檢測。

  • 滲透測試所取得之資訊是否容易外洩?

    戴夫寇爾資安專家皆具備高度企業倫理與道德,不會將測試資訊以任何資訊傳遞給第三方。測試過程中之資料傳遞也會以高強度的密碼加密傳輸,以確保資料的安全性。

  • 滲透測試執行完畢後就可以高枕無憂?

    駭客攻擊手法層出不窮,即使網站不進行任何更動,也難以保證未來不會被新的攻擊方式入侵。並且一般商務網站也不可能永遠不開發新功能,因此仍建議每年定期執行滲透測試。

  • 滲透測試該多久執行一次?

    金管會規定銀行體系之網站必須一年執行兩次滲透測試,而一般的企業網站或網路服務則建議每年至少執行一次滲透測試。

  • 可以委託戴夫寇爾測試其他企業的網站嗎?

    滲透測試會觸及企業的敏感資訊,必須取得合法的授權後才能進行測試,因此僅能接受該網站的擁有者或所屬企業委託測試。

  • 執行滲透測試的廠商需要特定資格嗎?

    目前並無相關法規,但購買滲透測試服務前最好確認廠商是否真的有能力可提供高品質的服務,例如廠商是否曾揭露大型軟體、網路服務的漏洞、廠商是否曾在各大研討會發表資安技術等,以避免廠商僅擁有軟體。