所謂的「合乎道德的駭客攻擊」(ethical hacking) 是在經過授權的情況下,運用專業的駭客技巧來預先發掘並修正資安漏洞、不讓駭客有機會攻擊漏洞的一種作法。
目錄
什麼是合乎道德的駭客攻擊?
在資安領域,駭客攻擊 (hacking) 這件事不單涵蓋了非法活動,也涵蓋了合法活動。基本上,它只是一種利用原先設計者未預料到的方式刺探和操弄數位系統的行為。它可以是惡意 (竊取資料和部署勒索病毒) 也可以是善意 (測試防禦和消除漏洞)。
合乎道德的駭客攻擊屬於後者,它是:
經過授權 – 經過系統擁有者的書面許可之後所為。
事先規畫 – 在定義好的範圍、目標和時間內進行。
受到管制 – 在規劃時會盡可能減少對企業服務的干擾。
有書面記錄 – 發現的結果會確實回報並提供明確的矯正建議。
合乎道德的駭客 (ethical hacker,或簡稱「道德駭客」) 會模仿真正的駭客,他們會使用您在勒索病毒攻擊、網路釣魚攻擊或帳號盜取事件中看到的相同工具和技巧,只不過會在合約和行為規範下執行。這也使得合乎道德的駭客攻擊變成了補強其他防禦的一種關鍵要素,例如:電子郵件防護、端點防護,以及攻擊面管理。
合乎道德的駭客攻擊要做些什麼?
合乎道德的駭客攻擊有何效益
發掘真實的漏洞 — 發掘對營運環境最關鍵的漏洞,而非只是自動化掃描找到的理論性問題。
在壓力下測試資安控管 — 檢驗防火牆、端點防護、XDR、身分控管以及網路分割是否足抵擋真實的攻擊技巧。
改善資安事故偵測及回應 — 演練 SOC 流程、操作手冊 (runbook) 及工具,讓團隊更快偵測、調查及遏止攻擊。
決定矯正與投資的優先次序 — 藉由將每一項發現對應到潛在的業務衝擊,合乎道德的駭客攻擊就能協助技術與業務利害關係人決定哪些問題該優先解決。
支援合規與確保 — 提供監理機關構、客戶和稽核人員所需的證據來證明資安措施確實經過測試,而非只是一些書面記錄。
隨時間而逐漸縮小攻擊面 — 這套程序能發掘漏洞,並將這些資訊提供給漏洞管理作參考,進而減少漏洞。
強化資安文化和意識 — 合乎道德的駭客攻擊可向員工和領導階層展示攻擊實際上如何運作,將抽象的風險轉化成具體的經驗,進而改變行為。
合乎道德的駭客攻擊與資安防護
合乎道德的駭客攻擊是整體網路資安策略的一環,但絕非替代品,它能協助企業回答一個簡單的問題:「如果駭客今天要攻擊我們,他們能發現什麼?能推進到多遠?」
合乎道德的駭客攻擊可用來支援:
攻擊面可視性 — 找出暴露在外的服務、組態設定錯誤、影子 IT,以及存在風險的第三方連線。
漏洞驗證 — 證明已發現的漏洞在真實條件下是否真的可以被攻擊。
控管措施確保 — 測試防火牆、EDR/XDR、網路分割以及多重認證 (MFA) 等防禦機制的成效。
資安事故準備度 — 藉此讓 SOC 分析師、應變腳本及呈報管道有機會演練。
不過,如果再搭配以下工具,效果會最好:
什麼是道德駭客?
道德駭客 (一般稱為滲透測試人員或紅隊演練人員) 是專門受雇尋找並負責任地通報漏洞的資安專業人士,他們大多來自:
道德駭客通常具備以下條件:
深厚的作業系統、網路及雲端平台知識。
熟悉網路攻擊常用的途徑,例如:竊取登入憑證、橫向移動,以及資料外傳。
以商業術語溝通風險的能力,而非只熟悉技術性用語。
趨勢科技本身的 Zero Day Initiative (ZDI) 漏洞懸賞計畫便與全球數千名研究人員共同合作,在漏洞遭到廣泛攻擊之前預先發掘漏洞並加以揭露,有效地藉由全球的道德駭客社群來強化內部研究團隊的能力。
道德駭客與網路駭客有何不同
道德駭客與網路駭客通常都使用類似的工具,但兩者之間存在著三大差異:
意圖 — 道德駭客的目標是降低風險,網路駭客的目標是賺錢。
授權 — 道德駭客是在獲得明確同意之下從事工作,網路駭客則未經過授權而且違法。
問責 — 道德駭客會記錄自己的行為並提交證據,網路駭客則會隱藏自己的行蹤。
這些差異之所以特別重要,是因為有些滲透測試工具 (如 Impacket 和 Responder) 已經發現被用於真實的攻擊案例中,顯示這類工具是一把雙面刃,既能支援資安測試,也能被用於入侵系統,端看使用者而定。
合乎道德的駭客攻擊是否合法?
在英國,未經許可的駭客攻擊是 1990 年電腦濫用法 (CMA) 當中明訂的一種犯罪行為。未經授權擅自存取、修改或干擾系統,不論意圖為何,都可能遭到起訴。
合乎道德的駭客攻擊在下列情況是合法的:
系統擁有者 (以及相關的資料管控者) 透過書面明確同意。
明確定義了哪些系統、環境和帳號在測試範圍內。
測試是為了防止不必要的損害或違反其他法律 (如:資料保護、隱私權)。
活動符合比例原則、有保留記錄,並且合乎專業標準。
英國政府和國家網路安全中心 (NCSC) 將滲透測試視為一種合法且重要的活動,只不過必須要有適當的委託。NCSC 的指引和計畫 (如 CHECK 計畫) 描述了政府單位和國家關鍵基礎設施應如何執行這類經過授權的測試。
在歐盟地區,合乎道德的駭客攻擊是規範在更廣泛的網路犯罪法律與指令之下。NIS2 指令對於必要且重要的機構定義了更嚴格的義務來採取主動式措施,包括滲透測試與漏洞管理。某些會員國 (例如比利時) 甚至導入了某些法律框架,在符合嚴格條件的情況下為合乎道德的駭客攻擊制定了豁免條款 (例如:秉持善意行事、負責任地揭露、符合比例原則)。
對企業來說,結論很單純:合乎道德的駭客攻擊必須在有明確合約、範圍定義,並且符合當地法律要求的情況下為之。
合乎道德的駭客攻擊與滲透測試
合乎道德的駭客攻擊與滲透測試這兩個詞彙密切相關,而且經常被交互使用,但它們卻有著實質上的差異。
趨勢科技將滲透測試定義為一套結構化、僅限於特定時間之內的演練,用來模擬針對性網路攻擊以便發掘及驗證系統、網路或應用程式的漏洞。它只是合乎道德的駭客攻擊所用到的其中一項核心技巧。
您可以這樣思考:
合乎道德的駭客攻擊
一種運用駭客技巧來強化資安的常態性思維方式與實務方法。
包括滲透測試、紅隊演練、社交工程攻擊,以及漏洞懸賞計畫。
有可能持續一段時間 (例如聘請外部研究人員在一整年當中持續通報問題)。
滲透測試
一種事先訂出時程和涵蓋範圍的專案,有明確的開始與結束日期。
只聚焦特定的系統、應用程式或環境。
通常是基於法規、客戶合約或內部政策的要求。
其他合乎道德的駭客攻擊類型還有:
紅隊演練 – 為期數週或數個月的攻擊行動,專為模擬進階駭客並測試偵測及回應 (甚至包括防範) 能力而設計。
紫隊演練 – 同時結合攻擊與防禦團隊的協同演練,目的是要即時改善偵測能力。
漏洞懸賞與漏洞揭露計畫 – 持續與外部道德駭客合作來發掘產品或服務的漏洞,就像趨勢科技 ZDI 將近 20 年來所做的。
合乎道德的駭客攻擊所用的工具
道德駭客所使用的工具跟敵人大致相同,這些工具既強大、又具備雙重用途,所以真正的差異在於是否經過同意和受到管制。
合乎道德的駭客攻擊常用的工具包括:
網路防護與連接埠掃描 – 發掘運作中的主機與暴露在外的服務。
漏洞掃描工具 – 發掘已知的漏洞與組態設定錯誤。
密碼與身分安全測試工具 – 評估密碼使用習慣與 MFA 成效。
網站應用程式測試框架 – 找出注入漏洞、不良的存取控管,以及邏輯錯誤。
攻擊後續與橫向移動框架 – 了解駭客是否建立了初步的立足點。
趨勢科技研究一再顯示,Impacket 和 Responder 這類滲透測試工具也曾被駭客用於實際的入侵事件,突顯出為何企業必須小心看待這些工具,並且限制只讓經過授權的專業人士在受管制的環境中使用。
合乎道德的駭客攻擊所用的工具本身並不能解決問題,它們的價值來自於:
測試方法的品質。
您企業套用修補更新、調整組態設定或變更流程的速度。
調查結果如何經由 XDR 和資安數據分析之類的平台做為持續監控及回應的參考。
如何學習合乎道德的駭客攻擊
不論您是要建立內部資安團隊,或是規劃您自己的職業生涯,如何學習合乎道德的駭客攻擊,是一個經常被問到的問題。這條道路相當艱辛,但如果有適當的基礎就有機會實現。
一些關鍵的技能領域包括:
網路基礎知識 – TCP/IP、路由、DNS、VPN、負載平衡器。
作業系統 – 尤其是 Linux 和 Windows 的內部運作。
網站與應用程式開發 – HTTP、API、常見的框架。
資安基礎知識:加密、認證、存取控管、記錄檔。
腳本與自動化 – Python、PowerShell 或 Bash 這類用來執行重複性工作的工具。
學習合乎道德的駭客攻擊有哪些核心步驟
針對個人:
打好穩固的基礎
學習網路、作業系統以及基礎資安概念。
善用一些參考資源,例如:NCSC 指引和廠商的「What Is」網頁介紹的主題 (網路釣魚、勒索病毒、駭客攻擊等等) 來了解常見的攻擊路徑。
打造一個安全的實驗室
採用虛擬機器、容器或雲端測試環境。
除非您正在參與已獲得授權的計畫,否則千萬別對非您擁有或掌控的系統做測試。
有目標的練習
透過一些刻意含有漏洞的應用程式和搶旗賽 (CTF) 情境來做練習。
記錄您的發現,就當您準備向客戶報告一樣。
努力取得公認的認證並參與社群。
考慮取得信譽良好的機構提供的產業認證。
當您的技術成熟之後,努力參與負責任的揭露或漏洞懸賞計畫。
針對企業:
先從調整您的訓練來配合您的風險狀況與技術堆疊開始著手。
將合乎道德的駭客攻擊技能與漏洞掃描、曝險管理,以及資安事故應變流程結合,而非將它視為一套獨立的技能。
合乎道德的駭客攻擊在真實世界的案例
ZDI 與全球道德駭客競賽
趨勢科技的 Zero Day Initiative (ZDI) 是全球最大的非限定廠商漏洞懸賞計畫,它會定期舉辦 Pwn2Own 大會,讓道德駭客在競賽中展示一些廣泛使用的軟體和裝置先前未知的漏洞。
在 Pwn2Own Berlin 2025 大會上,資安研究人員發現了 28 個零時差漏洞,範圍涵蓋作業系統、瀏覽器、虛擬化平台,以及其他技術,總共抱走了 100 萬美元以上的獎金。這些漏洞都已負責任地被揭露,因此廠商可在駭客將漏洞變成武器之前,預先準備好修補更新,為資安人員爭取關鍵的前置時間。
分析滲透測試工具在真實攻擊中的應用
趨勢科技的研究已介紹過一些原先用於滲透測試的工具 (如 Impacket 和 Responder) 被駭客用於在已遭入侵的網路內部橫向移動並將資料外傳的案例。
像這類雙面刃的案例提供了我們兩項啟示:
企業機構必須監控是否有已知的滲透測試工具被用於營運環境的可疑行為。
合乎道德的駭客攻擊專案應該讓 SOC 團隊知道其徵兆和技巧,以免有人利用合法的測試掩蓋真正的入侵。
採用 TrendAI Vision One™ 讓合乎道德的駭客攻擊洞見變得有意義
合乎道德的駭客攻擊可提供重要的洞見,但這只是強韌的資安架構所需的其中一環。要真正降低風險,企業必須將研究發現轉化成更強大的資安態勢。
TrendAI Vision One™ Security Operations 讓您將合乎道德的駭客攻擊結果無縫整合至進階網路資安系統,交叉關聯各環境的監測資料來迅速偵測可疑行為,為分析師提供應變指引。
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.
常見問題 (FAQ)
簡單來說,什麼是合乎道德的駭客攻擊?
合乎道德的駭客攻擊是指在明訂的規則、合約與法律界線下,使用經過授權的駭客技巧來尋找並修正資安弱點,不讓網路駭客有機會攻擊這些弱點。
合乎道德的駭客攻擊可以幫企業做些什麼?
合乎道德的駭客攻擊可示範真正的駭客會如何入侵您的系統,找出對您最重要的弱點,這樣您就能強化防禦、降低風險,並且對監理機關、客戶和董事會展現您的資安韌性。
合乎道德的駭客攻擊在英國是否合法?
是的,在英國,只要是獲得系統擁有者的明確授權、有清楚的涵蓋範圍,並且在符合法律 (如電腦濫用法) 與適用的資料保護法規的情況下,就屬於合法行為。
合乎道德的駭客攻擊與滲透測試有何不同?
合乎道德的駭客攻擊是使用類似駭客的技巧來改善資安的實務方法,滲透測試則是這種實務方法中的一種結構化、僅限於特定時間之內的演練,聚焦在於測試某些系統或應用程式。
合乎道德的駭客攻擊對企業有哪些主要效益?
合乎道德的駭客攻擊有助於發掘真實的漏洞、檢驗資安控管、改善偵測及回應、支援合規,並且持續縮小企業的攻擊面。
專業人士會使用哪些合乎道德的駭客攻擊工具?
合乎道德的駭客攻擊會混合使用各種網路掃描、漏洞掃描、網站應用程式測試工具、密碼與登入憑證測試工具、雲端與容器防護工具,以及攻擊後續框架,而且全部都在嚴格的管制下實施。
如何開始安全地學習合乎道德的駭客攻擊?
最安全的作法就是建立紮實的網路、作業系統與資安基礎知識,而且只在您自己擁有或者獲得授權使用的管制實驗室環境內練習,並以取得認證及參與負責任的揭露計畫為目標。