面對網路駭客日新月異的威脅,讓企業或個人越加重視網路世界的安全防護。資安防護除了防火牆、防毒軟體和安全防禦系統外,弱點掃描和滲透測試也是資安的重要技術之一。弱點掃描和滲透測試兩者有何不同?現在就利用3分鐘時間,一起來了解兩者之間的差異和運作流程。
弱點掃描&滲透測試 運作流程及差異說明
偵測系統安全與否一般會採用弱點掃描和滲透測試,兩者差異及運作流程簡單說明如下:
-
弱點掃描
透過自動化掃描軟體工具偵測作業系統與軟體系統的弱點,可用較低的成本在較短的時間內完成修正,但缺點是僅能檢測出既有的安全漏洞,針對最新的資安漏洞無法給予修補建議。其運作流程分成以下兩步驟:
STEP1. | 檢測作業
其方式主要分成到場掃描和遠端掃描:
|
STEP2. |
產出報告 掃描後二週內(約10個工作天)提供內容包括:弱點分析統計、弱點說明、弱點存在路徑及修補建議。 |
-
滲透測試
由經驗豐富的資安專家以駭客思維嘗試攻破企業系統,利用不同的弱點進行組合式攻擊,驗證任何可能突破網站防禦系統的入侵漏洞,積極評估組織基礎結構或系統的安全性,並徹底完成修補。其運作流程分成以下五個步驟:
STEP1. |
準備階段 確認進行方式、執行的目標範圍、限定時間、交付測試計畫。 |
STEP2. |
資料收集 依循OSSTMM(Open Source Security Testing Methodology Manual)建立執行架構、執行策略、資料收集、資料分析,及目標滲透步驟。 |
STEP3. |
資料分析 採用SANS Top 20及OWASP常見的弱點分類作為主要檢測標準,嘗試突破網站或系統防禦,找出網頁程式或作業系統上的弱點。 |
STEP4. |
目標滲透 針對應用程式、系統、網站以不同方式執行滲透測試作業。 |
STEP5. |
弱點諮商 交付滲透測試結果報告書,並針對報告書內的弱點進行修復建議。 |
弱點掃描&滲透測試,使用工具和情境有哪些?
弱點掃描和滲透測試分別適用在什麼情況?以及常見的檢測工具分別有哪些?簡單說明如下:
-
弱點掃描
主要用在修補作業系統服務層、網頁伺服器、網頁服務元件、網頁應用程式、開放原始碼的網頁應用程式碼、網站管理後台的漏洞。弱點掃描有針對網站(網頁)和系統弱點掃描,網站(網頁)弱點掃描,採用工具主要有Acunetix、Web Vulnerability Scanner;系統弱點掃描工具為Tenable Nessus Professional。
-
滲透測試
攻擊者透過企業的應用程式,使用不同路徑損害組織的商業機密或資產,每個路徑都代表著一種風險,可能造成企業或大或小的損失。企業應隨時檢視可能遭受的威脅、攻擊媒介、安全漏洞等,才能對組織的商業機密和業務影響作出有效的評估。
掃描檢測工具主要有Acunetix、Web Vulnerability Scanner、Tenable Nessus Professional等網站安全檢測工具,其它還有像是Burp Suite、Metasploit、Nmap、Brutus、Canvas等。此外,針對開放原始碼的安全測試方法則有OSSTMM、ISSAF、NIST、OWASP。
弱點掃描&滲透測試 常見問答
Q1. |
弱點掃描&滲透測試,如何選擇? 弱點掃描雖可利用工具在較短的時間內檢查出漏洞,但不像滲透測試可針對弱點去驗證系統的防禦強度。因此,不論網站系統大小,建議可依據自身的資源和需求做規模與範圍的選擇。 |
Q2. |
弱點掃描&滲透測試建議多久執行一次? 弱點掃描,一季至一年;滲透測試,一年至二年執行一次。 |
Q3. |
如何選擇弱點掃描&滲透測試的廠商? 廠商須能判斷企業狀況,採用正確且合適的掃描工具,協助找出弱點,提供貼近真實狀況的駭客攻擊模擬,找出各種潛在漏洞,驗證並評估其安全性,以及提供完整報告分析,及完善的修補建議。 |
蓋亞資訊的專業資安健檢方案,提供弱點掃描、滲透測試、原始碼檢測等服務。其專業服務具備以下3點特色:
- 7x24hr 不間斷蒐集端點行為:在端點植入Sensor,透過Sensor持續不間斷地蒐集操作系統上的行為與活動。
- 人工智能系統協助判斷:人工智能系統對蒐集到的行為、程序進行檢測與分析,並在發現惡意軟體、惡意行為後,利用線上雲端方式進行資安事件處理。
- 資安顧問團隊分析:資安顧問團隊進行第二階段分析與確認,找出入侵來源、相關惡意軟體、黑客行為等,並隨時提供即時的建議處理方案。
還在為公司該採取何種資安防護措施大傷腦筋嗎?蓋亞資訊提供專業SOC資安方案,不僅具備全方位偵測能力、一週7天一天24小時不間斷監控服務,還能隨時更新並分析全球威脅情資,並給予資安預警通報與防護建議,幫助企業避開惡意入侵或黑客行為。現在就歡迎與我們聯繫,讓蓋亞資訊為您量身打造弱點掃描及滲透測試服務!