滲透測試、入侵測試
滲透測試是什麼?Penetration Test以駭客思維入侵測試,提升資安!天矽科技
滲透測試是什麼
滲透測試 Penetration Test,是為了證明網路防禦有按照預期計畫正常執行的一種機制,測試方式為利用、模擬駭客與惡意使用者的思維,嘗試攻破入侵企業網站、資訊系統或設備等軟體,分析測試目標的風險層級,評估安全性是否有待加強,而這項測試的最終目的,是為了在受到真正的攻擊之前,能夠提早發現安全性的漏洞並加以改善修正。
簡單來說,就是以毒攻毒、以毒試毒的概念進行測試目標的模擬攻擊,並在攻擊後回報潛在漏洞給開發人員進行修補。
不過在進行滲透測試之前,我們應該要先實行「弱點掃描」的步驟,將測試目標進行掃描,獲取弱點分析統計、說明、存在路徑與修補建議,接著才會再針對掃瞄出的漏洞採取模擬滲透的行為,驗證是不是能真的利用這些已知的弱點攻破與入侵主機。
弱點掃描與滲透測試的差異
- 弱點掃描:
由「自動化掃描軟體」進行,可在短時間內執行完畢,需要付出的時間與金錢成本較低。 - 滲透測試:
滲透測試會模擬駭客攻擊方式,利用不同的弱點進行組合式攻擊,驗證是否有任何方式可突破受測目標的防禦,付出的時間與金錢成本較高。
弱點掃描成本較低,但僅能檢測出既有的漏洞,比如說程式語法上的撰寫安全漏洞問題;而滲透測試,是以組合方式進行突破,可即時檢測出最新的安全漏洞並給予修補建議,企業可依照需求進行選擇。
滲透測試流程
進行滲透測試的流程會有哪些?
首先,會進行專案需求的確認,並簽署、取得合法滲透授權,才可執行滲透測試(取得授權這一點非常重要),測試後會獲得一份測試結果報告,開發人員會透過這份報告,進行漏洞的修補,不過測試的時間,會依照受測目標的規模大小訂定,通常最少會需要一個月的時間,詳細說明如下。
專案需求確認
客戶(企業)提出滲透測試的要求,測試方會確認需求與執行規範,接著簽署合約,取得合法的滲透授權才可繼續;取得授權是一件非常重要的一環,代表測試方並非惡意使用者,是因安全性需求,才會進行入侵的行為。
在進行滲透測試之前,我們應事先進行弱點掃描的步驟,獲得弱點分析報告進行修補再行滲透測試,安全會更加全面且有效。
執行滲透測試
滲透測試的流程可分為五個步驟,如下。
- 準備階段
確認執行的方式、範圍、時間與測試計畫,並蒐集受測目標的公開資訊,如Domain、IP位置和帳號…等。 - 資料蒐集
依循OSSYMM(Open Source Security Testing Methodology Manual)建立執行架構、策略、資料蒐集、分析與目標滲透步驟,並測試是否有敏感資訊或系統訊息洩漏。 - 資料分析、弱點掃描
掃描受測目標已知的弱點,各項測試廠商提供與採用的測試標準不一,但大多都會以OWASP(Open Web Application Security Project)所提供的年度十大安全風險排行榜所揭露的風險作為主要的檢測標準。 - 目標滲透
測試應用程式、軟體、邏輯與系統,以不同的方式執行滲透測試的作業,並破解密碼等目標項目。若取得伺服器控制權限,會再嘗試取得伺服器最高權限,或滲透內網其他伺服器。 - 弱點報告
測試完畢,獲取測試報告書。
滲透測試報告
當滲透測試檢測完畢後,會獲得一份測試報告,其中詳細列出了各式的弱點進入點、風險等級、測試與修補方式等資訊,讓開發人員可以透過這份報告進行安全性與漏洞的修補,修補完畢後,整個流程會再重新跑過一遍,直到合格。
滲透測試標準
目前滲透測試沒有強制規定的標準化流程可遵循,但大多都會依照 OWASP 和 OSSTMM 中的測試安全指南進行測試,有些則會再使用 SANS 做為檢測標準。
SANS
SANS(System Administration, Networking and Security) 美國安全研究機構,SANS Top20 風險元件如下。
- 授權和未授權設備 Inventory of Authorised and Unauthorised Devices
- 授權和未授權軟件清單 Inventory of Authorised and Unauthorised Software
- 移動設備、筆記型電腦、工作站和伺服器上硬體和軟體的安全配置 Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers
- 持續漏洞評估和修復 Continuous Vulnerability Assessment and Remediation
- 受控使用管理權限 Controlled Use of Administrative Privileges
- 審計日誌的維護、監控和分析 Maintenance, Monitoring and Analysis of Audit Logs
- 電子郵件和 網站瀏覽器保護 Email and Web Browser Protections
- 惡意軟件防禦 Malware Defenses
- 網路端口、協議和服務的限制和控制 Limitation and Control of Network Ports, Protocols and Services
- 數據恢復能力 Data Recovery Capability
- 安全配置用於網絡設備,例如防火牆、路由器和交換機 Secure Configurations for Network Devices, such as Firewalls, Routers and Switches
- 邊界防禦 Boundary Defense
- 數據保護 Data Protection
- 基於需要了解的受控訪問 Controlled Access Based on the Need to Know
- 無線訪問控制 Wireless Access Control
- 帳戶監控 Account Monitoring and Control
- 安全技能評估和適當培訓以填補空白 Security Skills Assessment and Appropriate Training to Fill Gaps
- 應用軟體安全 Application Software Security
- 事件響應和管理 Incident Response and Management
- 滲透測試和紅隊練習 Penetration Tests and Red Team Exercises
資料來源:
CYBER MANAGEMENT|Sans Top 20 Controls
OSSTMM
OSSTMM(Open Source Security Testing Methodology Manual) 開源安全測試方法論,風險報告如下。
- Phishing
- Social Engineering
- Ransomware
- Downloaders
- Drive-by Downloads / Download Hijacking
- Malvertising
- Zero-Day Attack
- Password Cracking
- Distributed Denial of Service Attack (DDoS)
- Scareware
- SQL Injection
資料來源
➤ ISECOM
➤ ISECOM|THE OPEN SOURCE CYBERSECURITY PLAYBOOK
OWASP
OWASP(Open Web Application Security Project)開放網路安全計畫,以下為2021 OWASP Top 10安全風險。
- Broken Access Control
- Cryptographic Failures
- Injection
- Insecure Design
- Security Misconfiguration
- Vulnerable and Outdated Components
- Identification and Authentication Failures
- Software and Data Integrity Failures
- Security Logging and Monitoring Failures
- Server-Side Request Forgery
資料來源:
➤ OWASP|OWASP Top Ten
參考資料:
➤ DEVCORE|滲透測試服務是什麼
➤ GAIA|弱點掃描VS滲透測試,有何差別?
延伸閱讀:
➤ Acunetix網頁弱點掃描,網站漏洞應立即修補
