滲透測試

當企業建置防火牆、防毒、VPN、入侵偵測、入侵預防、身分認證、內容過濾、弱點掃描等安全裝置後，真的就安全嗎？每天都有新的軟體漏洞出現，如雨後春筍般出現的駭客網站，教人如何入侵網站、破解密碼，更有數不完的駭客工具，難保你不會成為下一個受害者。如果你不希望遭到黑客入侵，那麼就讓白客早一步滲透測試吧！

買安全裝置的目的不就是為了預防駭客入侵嗎？是的，安全裝置是資訊安全的重要關鍵因素，每個安全裝置都能補強安全，但每個安全裝置也能成為資安殺手，讓你越補越大洞。

以最重視安全的金融業為例，銀行建置雙層防火牆，買了入侵偵測系統，也定期執行弱點掃描，應該很安全，但駭客侵入、帳戶資料遭竊、網站遭受攻擊等安全事件仍時有所聞，也許被駭客入侵的機率只有0.001%，但發生後就是1。今年二月，大陸破獲網路銀行盜領案件，哈爾濱市3名大學生，利用網路銀行盜領人民幣53萬元；去年九月，刑事局偵九隊破獲胡可之網路盜領集團，他們花了5個月時間破解網路銀行及語音系統，成功盜領數百萬元。

安全專家表示，企業並沒有發揮安全產品真正的功能，一些自行開發的應用程式更是不堪一擊。某銀行的資訊部門主管就說過：「資訊安全人人有信心，個個沒把握。」如何證明資訊安全與你想的一樣？

我們要怎樣才能證明真的安全呢？如果花了上百萬，甚至上千萬建置的安全體系仍無法保證安全，那麼錢不就花得很冤枉。為了證明網路防禦機制跟企業認為的一樣好，國外企業會請安全專家執行滲透測試（Penetration Testing、Pen Testing），檢驗資訊系統的安全強度，以美國花旗銀行為例，每年要執行4次滲透測試。

滲透測試是由一組安全顧問執行，利用弱點掃描軟體或其他的工具，從外部或內部網路收集系統的相關資訊，並探查出邏輯性更強、更深層次的漏洞，然後滲透到企業內部取得資產，最後提交一份滲透測試報告，完整的記錄整個測試過程與細節，證實企業哪些系統有風險、哪些產品設定沒做好，並協助企業進行制定更完善的安全防禦措施。換句話說，滲透測試是安全稽核的一部分，由安全專家模擬駭客的攻擊模式，測試資訊系統的安全強度，讓企業在駭客攻擊前，就做好預防工作。談到這裡，也許有人會說，他早在幾年前就花了幾十萬執行過滲透測試，漏洞也都修補完，應該就很安全了吧！

如果你也有這種想法，那可能還不了解什麼是滲透測試，甚至已經被廠商誤導，沒搞清楚弱點掃描和滲透測試的差別，以為弱點掃描就是滲透測試。首先，滲透測試必須由專業顧問費時數周才能完成，需要大量的人力成本，而弱點掃描是利用工具自動化快速掃描大量主機，所以，一次標準的滲透測試至少上百萬元，國外廠商的費用更是國內廠商的數倍；其次，因為弱點和漏洞不斷的出現，駭客攻擊手法也不斷翻新，弱點掃描大約3個月到半年執行一次，滲透測試最好每年執行一次，幾年前做過滲透測試，並不代表現在可以高枕無憂；比較慘的是，不少廠商因為成本考量與技術不足，假滲透測試之名，行弱點掃描之實，讓許多企業以為做過滲透測試，其實只是找到一些弱點而已。

為了讓你更清楚兩者的差別，我們聽聽專家怎麼說。

Foundstone亞太區總監陳彥銘做了簡單的比較，弱點掃描就像是觀察一棟房子，找到可能的漏洞或瑕疵，而滲透測試不但要找洞，還要由點擴成線、線擴成面，一步步滲透進入這棟房子，了解可能造成的損害有多大。簡單的說，弱點掃描花的時間少，資源少，對正常工作干擾低，而滲透測試則花較長時間與較多資源，有可能對正常運作造成影響。

鈺松國際技術總監張裕敏表示，弱點掃描和滲透測試是兩種完全不同的服務，弱點掃描就像健康檢查，找出身體哪裡有毛病，找到病之後的開刀、吃藥就是弱點修補，但有些病症是普通健康檢查找不出來的，需要更進一步的測試，例如用針刺去分析身體的各種反應，也就是滲透測試。在二年前，就有許多家廠商進入滲透測試市場，他們把弱點掃描和滲透測試混在一起，並以此來教育使用者，造成使用者觀念的混淆，但最近已經有一些金融業及政府重點單位比較了解兩者的差別，因為他們已經吃過苦頭（做過所謂的滲透測試，然而主機仍被入侵與攻擊、資料被盜取，沒有解決問題），不過，大部分的政府機關和中小企業仍分不清兩者的差異。

鈺松國際行銷經理曾于洲認為，弱點掃描是偵測出全世界都知道的弱點，而滲透測試則是找出未知的弱點，例如政府推動的e計畫，有很多企業自行撰寫的應用程式，裡面就可能存在安全漏洞，但用一般的弱點掃描工具並無法偵測出來，而滲透測試則可以找出這些漏洞。

敦陽科技資訊安全事業處資訊安全顧問林佶駿表示，就他的經驗而言，有專門人力在負責資訊安全的企業會比較了解兩者的差別，像高科技和金融業就比較清楚，而政府機關就有待加強。市場上所提供的滲透測試服務，大都是以網路弱點稽核來取代並執行，兩者的執行方式與所需要的技術能力有相當大的差別，弱點稽核只能找出已知的弱點和設定上的錯誤，而滲透測試除了能找出上述弱點，還能發現未知的弱點，並使用暴力破解密碼。林佶駿用孫子兵法謀攻篇來解釋滲透測試，「知己知彼，百戰不殆，不知己而知彼，一勝一負，不知彼不知已，每戰必殆。」如果你連自己的弱點都不清楚，又怎麼跟駭客對抗。

敦陽科技資訊安全事業處資訊安全顧問李欣陽指出，弱點掃描工具所收集到資訊，對一般人來說是沒有意義的資料，但資安專家擁有「解讀」的能力，能夠從中找到許多關連。另外，政府針對A+級的單位，有弱點管理、SOC、BS7799、滲透測試及教育訓練等5個資訊安全要求，滲透測試能夠稽核與驗證其他4個要求。

聽完專家的看法，相信你對滲透測試和弱點掃描有比較深切的了解。

我們也觀察到幾個現象。許多廠商跨進資訊安全服務市場，包括系統整合（IBM、HP、敦陽……）與資訊安全（Symantec、鈺松……）等廠商，但其中僅有少數幾家「能夠」且「願意」提供滲透測試服務，許多廠商認為企業不會花那麼多錢執行滲透測試，倒不如多賣些產品還比較實在，而且滲透測試的利潤沒有產品高，賣一臺大型主機能賺更多，何必浪費成本在這上面。另外，有些買了上百萬安全產品的IT主管存著駝鳥心態，害怕執行滲透測試後，因為漏洞百出而被「砍頭」，所以不願意執行真正的滲透測試，反而以弱點掃描替代。也有些人抱持著大事化小，小事化無的心態，以為執行過弱點掃描就很安全了，何必再花大錢做滲透測試。

或許有些人視滲透測試為敵人，但實際上它卻是朋友，Carole Fennelly說過一句話：「儘管你討厭滲透測試，但它能恰到好處的證明你的安全措施是正確的。」文⊙陳世煌