滲透測試是一種模擬真實世界攻擊以發掘系統、網絡或應用程式漏洞的資訊保安實務作法。它能協助企業發掘漏洞並提升防禦能力,不讓黑客進行漏洞攻擊。
目錄
根據測試人員對受害系統的知識與測試的程度,滲透測試可分成幾種類型:
在黑盒測試中,測試人員在執行測試時預先不知道有關系統或網絡的資訊。這類測試會模擬黑客在無內部資訊的情況下發動的外部攻擊。有助於評估企業資訊保安的運作狀況。
白盒測試又稱為透明盒測試,可讓測試人員無限制存取系統的架構、原始程式碼以及其他重要資訊。這套測試方法可完整檢視系統的安全性,從內部到外部皆加以評估來發掘漏洞。
灰色方塊測試結合了白色方塊與黑色方塊測試,以及對系統非常了解的測試人員。這類測試會模擬內部或外部黑客對目標有所認識的攻擊。結合白盒測試的詳細方法與黑盒測試的便利性。
滲透測試是一個結構化的流程,可確保系統評估受測的系統。主要的階段包括:
第一步是建立測試的範圍和目標。測試人員會盡可能蒐集有關目標系統、網絡或應用程式的資訊,包括利用被動和主動偵查來發掘網域名稱、IP 位址以及其他重要資訊。
在掃描階段,測試人員會運用各種技巧來發掘可能的入侵點與漏洞。包括連接埠掃瞄、網絡對應、漏洞掃瞄,以偵測開放的連接埠、服務和漏洞。準確的掃描對於發掘需要更多研究的地方至關重要。
在這階段,測試人員會試圖利用先前發現的漏洞來取得目標系統的存取權限。例如利用一些技巧如 SQL 注入攻擊、破解密碼、利用軟件漏洞。存取系統可讓您了解成功攻擊的可能影響。
在取得存取權限之後,測試人員會試圖在系統上保持連線。例如新增後門程式或其他惡意程式,以確保他們即使在漏洞修補之後也能存取系統。維持存取權限,可模擬黑客長時間無法被偵測的真實情境。
測試完成後,會分析並記錄結果。這份報告說明了所發現的漏洞、漏洞攻擊技巧,以及該如何修正這些漏洞的建議。這個階段對企業來說非常重要,因為企業必須認識風險並採取修正措施。詳盡報表為提升資訊保安制定了明確的計劃。
滲透測試人員會運用許多工具和技巧來有效執行自己的工作。一些常見的工具包括:
Nmap(Network Mapper)是一套強大的開放源碼工具,可用來發掘網絡並稽核資訊保安狀況。它有助於偵測網絡上的運行的主機、開放連接埠及執行的服務。Nmap 在網絡掃描的效率和多樣性方面令它被廣泛應用。
Metasploit 是一個熱門開放源碼滲透測試框架,可提供資訊保安漏洞的相關資訊。它可讓測試人員模擬真實世界的攻擊並評估系統的安全性。Metasploit 提供了各式各樣的漏洞攻擊手法,因此是滲透測試人員的絕佳工具。
Burp Suite 是網站應用程式防護測試的整合式平台,內含掃描、潛入及攻擊網站應用程式漏洞的工具。Burp Suite 是偵測 SQL 注入攻擊、XSS 及認證不足等漏洞的關鍵。其全方位功能,是網站應用程式測試的首選。
Wireshark 是一種網絡通訊協定分析器,即時監控和分析網絡流量。它有助偵測可疑活動,並診斷網絡問題。Wireshark 能剖析網絡通訊協定,因此非常有助於解決各種疑難問題與資訊保安分析。
John the Ripper 是一個常見的密碼破解工具,可偵測較弱的密碼。它支援各種加密技巧,可用來判斷密碼的強度。使用 John the Ripper 定期檢查密碼,有助於確認密碼政策是否有效。
OWASP ZAP (Zed Attack Proxy) 是一個開放源碼網站應用程式防護掃瞄工具。它有助於偵測網站應用程式的資訊保安漏洞,並且內含手動測試工具。OWASP ZAP 的用戶介面與強大功能,讓它成為滲透測試人員常用的工具。
滲透測試對企業有各種不同優勢:
企業可利用滲透測試來發掘系統、網絡及應用程式的漏洞,不讓黑客攻擊這些漏洞。企業可主動發掘並修正這些漏洞來避免資料外洩和網絡攻擊。
滲透測試能發掘並防範資訊保安漏洞,保護敏感資料。包括個人資訊、財務資料以及智識產權。確保敏感資料的安全,對於維持客戶信任與避免法律後果至關重要。
許多產業都有資訊保安測試的法規要求。滲透測試能協助企業遵守 PCI-DSS、HIPAA、GDPR 和 DORA 等標準,證明企業已採取適當措施來保護自己的系統。定期測試有助於避免因不合規而遭到罰款或法律問題。
定期滲透測試有助於企業提升整體資訊保安狀況,持續提升資訊保安防禦,防範網絡資訊保安威脅。它提供了寶貴的資訊保安弱點啟示,有助於制定更有效的資訊保安策略。強而有力的資訊保安狀況可降低攻擊成功的可能性。
此外,滲透測試也會評估企業的事件回應功能。如此有助於發掘回應流程的漏洞,確保資訊保安團隊隨時準備,有效處理真實世界的攻擊。做好萬全準備對於降低資訊保安事件的衝擊至關重要。
為確保涵蓋所有防護基礎,我們建議採用一套能為系統提供完整防護的資訊保安方案來防範這類及其他威脅。
Trend Vision One 能為資訊保安團隊提供電郵、端點、伺服器及雲端工作負載等多重防護層的關聯檢視,讓資訊保安團隊全面掌握持續攻擊行動的嘗試。防護團隊可更廣泛地掌握攻擊嘗試的樣貌,更了解攻擊嘗試,並且偵測從單一層面檢視看似良性的可疑行為。