當企業建置防火牆、防毒、VPN、入侵偵測、入侵預防、身分認證、內容過濾、弱點掃描等安全裝置後,真的就安全嗎?每天都有新的軟體漏洞出現,如雨後春筍般出現的駭客網站,教人如何入侵網站、破解密碼,更有數不完的駭客工具,難保你不會成為下一個受害者。如果你不希望遭到黑客入侵,那麼就讓白客早一步滲透測試吧!

買安全裝置的目的不就是為了預防駭客入侵嗎?是的,安全裝置是資訊安全的重要關鍵因素,每個安全裝置都能補強安全,但每個安全裝置也能成為資安殺手,讓你越補越大洞。

以最重視安全的金融業為例,銀行建置雙層防火牆,買了入侵偵測系統,也定期執行弱點掃描,應該很安全,但駭客侵入、帳戶資料遭竊、網站遭受攻擊等安全事件仍時有所聞,也許被駭客入侵的機率只有0.001%,但發生後就是1。今年二月,大陸破獲網路銀行盜領案件,哈爾濱市3名大學生,利用網路銀行盜領人民幣53萬元;去年九月,刑事局偵九隊破獲胡可之網路盜領集團,他們花了5個月時間破解網路銀行及語音系統,成功盜領數百萬元。

安全專家表示,企業並沒有發揮安全產品真正的功能,一些自行開發的應用程式更是不堪一擊。某銀行的資訊部門主管就說過:「資訊安全人人有信心,個個沒把握。」如何證明資訊安全與你想的一樣?

我們要怎樣才能證明真的安全呢?如果花了上百萬,甚至上千萬建置的安全體系仍無法保證安全,那麼錢不就花得很冤枉。為了證明網路防禦機制跟企業認為的一樣好,國外企業會請安全專家執行滲透測試(Penetration Testing、Pen Testing),檢驗資訊系統的安全強度,以美國花旗銀行為例,每年要執行4次滲透測試。

滲透測試是由一組安全顧問執行,利用弱點掃描軟體或其他的工具,從外部或內部網路收集系統的相關資訊,並探查出邏輯性更強、更深層次的漏洞,然後滲透到企業內部取得資產,最後提交一份滲透測試報告,完整的記錄整個測試過程與細節,證實企業哪些系統有風險、哪些產品設定沒做好,並協助企業進行制定更完善的安全防禦措施。換句話說,滲透測試是安全稽核的一部分,由安全專家模擬駭客的攻擊模式,測試資訊系統的安全強度,讓企業在駭客攻擊前,就做好預防工作。談到這裡,也許有人會說,他早在幾年前就花了幾十萬執行過滲透測試,漏洞也都修補完,應該就很安全了吧!

如果你也有這種想法,那可能還不了解什麼是滲透測試,甚至已經被廠商誤導,沒搞清楚弱點掃描和滲透測試的差別,以為弱點掃描就是滲透測試。首先,滲透測試必須由專業顧問費時數周才能完成,需要大量的人力成本,而弱點掃描是利用工具自動化快速掃描大量主機,所以,一次標準的滲透測試至少上百萬元,國外廠商的費用更是國內廠商的數倍;其次,因為弱點和漏洞不斷的出現,駭客攻擊手法也不斷翻新,弱點掃描大約3個月到半年執行一次,滲透測試最好每年執行一次,幾年前做過滲透測試,並不代表現在可以高枕無憂;比較慘的是,不少廠商因為成本考量與技術不足,假滲透測試之名,行弱點掃描之實,讓許多企業以為做過滲透測試,其實只是找到一些弱點而已。

為了讓你更清楚兩者的差別,我們聽聽專家怎麼說。

Foundstone亞太區總監陳彥銘做了簡單的比較,弱點掃描就像是觀察一棟房子,找到可能的漏洞或瑕疵,而滲透測試不但要找洞,還要由點擴成線、線擴成面,一步步滲透進入這棟房子,了解可能造成的損害有多大。簡單的說,弱點掃描花的時間少,資源少,對正常工作干擾低,而滲透測試則花較長時間與較多資源,有可能對正常運作造成影響。

鈺松國際技術總監張裕敏表示,弱點掃描和滲透測試是兩種完全不同的服務,弱點掃描就像健康檢查,找出身體哪裡有毛病,找到病之後的開刀、吃藥就是弱點修補,但有些病症是普通健康檢查找不出來的,需要更進一步的測試,例如用針刺去分析身體的各種反應,也就是滲透測試。在二年前,就有許多家廠商進入滲透測試市場,他們把弱點掃描和滲透測試混在一起,並以此來教育使用者,造成使用者觀念的混淆,但最近已經有一些金融業及政府重點單位比較了解兩者的差別,因為他們已經吃過苦頭(做過所謂的滲透測試,然而主機仍被入侵與攻擊、資料被盜取,沒有解決問題),不過,大部分的政府機關和中小企業仍分不清兩者的差異。

鈺松國際行銷經理曾于洲認為,弱點掃描是偵測出全世界都知道的弱點,而滲透測試則是找出未知的弱點,例如政府推動的e計畫,有很多企業自行撰寫的應用程式,裡面就可能存在安全漏洞,但用一般的弱點掃描工具並無法偵測出來,而滲透測試則可以找出這些漏洞。

敦陽科技資訊安全事業處資訊安全顧問林佶駿表示,就他的經驗而言,有專門人力在負責資訊安全的企業會比較了解兩者的差別,像高科技和金融業就比較清楚,而政府機關就有待加強。市場上所提供的滲透測試服務,大都是以網路弱點稽核來取代並執行,兩者的執行方式與所需要的技術能力有相當大的差別,弱點稽核只能找出已知的弱點和設定上的錯誤,而滲透測試除了能找出上述弱點,還能發現未知的弱點,並使用暴力破解密碼。林佶駿用孫子兵法謀攻篇來解釋滲透測試,「知己知彼,百戰不殆,不知己而知彼,一勝一負,不知彼不知已,每戰必殆。」如果你連自己的弱點都不清楚,又怎麼跟駭客對抗。

敦陽科技資訊安全事業處資訊安全顧問李欣陽指出,弱點掃描工具所收集到資訊,對一般人來說是沒有意義的資料,但資安專家擁有「解讀」的能力,能夠從中找到許多關連。另外,政府針對A+級的單位,有弱點管理、SOC、BS7799、滲透測試及教育訓練等5個資訊安全要求,滲透測試能夠稽核與驗證其他4個要求。

聽完專家的看法,相信你對滲透測試和弱點掃描有比較深切的了解。

我們也觀察到幾個現象。許多廠商跨進資訊安全服務市場,包括系統整合(IBM、HP、敦陽……)與資訊安全(Symantec、鈺松……)等廠商,但其中僅有少數幾家「能夠」且「願意」提供滲透測試服務,許多廠商認為企業不會花那麼多錢執行滲透測試,倒不如多賣些產品還比較實在,而且滲透測試的利潤沒有產品高,賣一臺大型主機能賺更多,何必浪費成本在這上面。另外,有些買了上百萬安全產品的IT主管存著駝鳥心態,害怕執行滲透測試後,因為漏洞百出而被「砍頭」,所以不願意執行真正的滲透測試,反而以弱點掃描替代。也有些人抱持著大事化小,小事化無的心態,以為執行過弱點掃描就很安全了,何必再花大錢做滲透測試。

或許有些人視滲透測試為敵人,但實際上它卻是朋友,Carole Fennelly說過一句話:「儘管你討厭滲透測試,但它能恰到好處的證明你的安全措施是正確的。」文⊙陳世煌


熱門新聞

Advertisement