滲透測試全記錄

從開始到結束，完整介紹整個滲透測試的生命周期

在國外，股東和客戶與企業進行交易或投資之前，可能會要求查看安全稽核的結果，原因很簡單，如果連基本的安全都做不好，又怎麼能做好生意。

那要如何才能做好滲透測試呢？我們將從滲透測試的執行時機、評估廠商、合約規範、釐清需求、執行流程及風險評估等項目，一一為你介紹。

滲透測試最佳時機
何時該執行滲透測試呢？由於沒有百分之百絕對的安全，當建置那麼多資訊安全產品後，許多IT主管仍會問，究竟效果有多大，駭客攻進來的機率有多大，能夠達到的安全程度有多高？

我們都知道產品能夠防阻哪些攻擊，卻忽略它無法防禦的攻擊，而滲透測試能協助企業找出錯誤的設定，證明安全裝置沒有大問題，提高安全的百分比。

林佶駿建議先打好資訊安全的基礎（Baseline），然後才執行滲透測試，因為滲透測試能夠提高企業的安全強度。舉例來說，一些企業可能有標準的上線程序，防火牆和網路設置都設定的很精準，但是預設的帳號沒有移掉，或者只是將管理帳號更換成簡單的密碼，這樣都很容易就會被駭客猜出。

張裕敏表示，如果企業連基本的安全防禦體系都沒有，那只要5分鐘就可以取得所有資料，也就做完滲透測試。比較好的滲透測試執行時機是，當資安環境建置到一定的程度，已經購買防火牆、入侵偵測系統等產品，進行過弱點掃描與弱點修補，並運作3個月到半年的時間後，再來執行滲透測試。如此才能實際測出安全的程度，把不足的部分給補足，效益也最大。

找有專業團隊又可信賴的廠商
知道何時要執行測透測試後，接下來就是找合適的廠商，我們提供幾個評估廠商的標準。

專業團隊：一個人可以執行滲透測試嗎？可以的，但那個人必須是個天才，能夠熟悉各種作業系統、應用程式及網路架構，而且對資訊安全又有狂熱，但這種人少之又少，所以大部分的滲透測試團隊至少都有3個人，每個人具備上述的1~2種能力。

有專家認為，資訊安全是一個高度依賴經驗的服務，因此團隊成員的經驗、溝通協調能力都會影響資訊安全防護推動的順暢與否。尤其當整個資訊產業走到知識經濟時，公司已經成為一個技術市集 （Technology Market Place），創造出公司口碑（品牌）的專業團隊，可能會因挖角或創設公司而流動，所以品牌不再是資訊安全專業的保證，團隊的專業性與默契將是專案成功與否的重要關鍵，所以在評選廠商時，與其去迷信名牌，不如去了解負責這項專案的團隊成員的專長與經驗。

資訊安全最重要的就是人，而專業證照（例如CISSP）是評估這個人的最好方法，其他像過去的經歷、著作及發現過的新漏洞等，都是不錯的評估標準。

可信賴度：包括專案品質保證、屢約能力、人員流動率、意外狀況處理及財務能力。

人很重要，但廠商的品牌和信譽也不能忽視，透過經驗的累積，信譽好的廠商會有制度化的流程與完整的知識庫，降低因為人員流動而造成的影響。廠商是否負責、是否能夠提供完整的解決方案（產品及服務），以及對滲透測試的投資程度，也是評估的項目之一。

之前發生過大陸某公司，他們的員工販賣知名企業的滲透測試報告，引起廣泛的討論。所以，除了每個執行人員都要簽NDA之外，廠商也避免發生類似的事件，嚴密控管各種測試資料。

此外，如果因為滲透測試而造成損害，執行的廠商是否有能力賠償，也關係到企業的權利；企業為了永續經營，也會希望廠商能夠一直服務下去，那麼企業的機密資料就只有他們知道。選擇有規模且財務狀況不錯的廠商，將會減小這方面的風險。

合約：滲透測試要測什麼、是否要執行破壞性攻擊、如何保護測試結合……等等，只要是跟滲透測試有關，最好都在合約中說清楚，之後才能講明白，避免產生不必要的糾紛。

由於目前滲透測試仍沒有標準（法律、規範）可循，因此各家廠商的合約內容也都不儘相同，例如國外廠商的合約書也許只有2頁，說明測試的範圍、企業該注意的事項，風險與損失都必須由企業自行負責，與執行廠商無關，國內廠商的合約書則詳細多了，至少6、7頁，包括人員背景、執行規範等副件資料可長達十餘頁。

張裕敏表示，國外企業是已經了解滲透測試的風險之後，才去執行測試，但國內企業則不同，認為風險都要由執行廠商負責，所以滲透測試拖了這麼久才興起，也就是「文化差異」造成「責任差異」與「成本差異」。在國外，如果因為滲透測試而產生糾紛，雙方就是上法院解決，但為了配合國情，鈺松的合約書就比較讓步。

李欣陽表示，敦陽的滲透測試合約大概3至4頁，但會視客戶需求增加內容，最後再由雙方的法務進行協調，會比國外的合約來得嚴謹。合約也是滲透測試最大的困難點，企業會擔心執行人員的操守和測試資料的保護狀態，所以敦陽的合約會包含一些安全承諾，例如專屬的測試機房、記錄所有的指令、加密測試內容及成員經過「敏感單位」檢核等，都會在合約內詳細定義。

文化背景：雖然駭客無國界，但滲透測試還是會受文化背景影響，最明顯的例子就是外國人看不懂中文字，所以在測試過程中，必須有人協助與翻譯，他們寫的報告、講的話當然也不會是中文。另外，基於安全考量，政府單位大都拒絕非本國人進行滲透測試。

林佶駿表示，有一次某個外國顧問因為看不懂中文字，而請他進行翻譯，他就知道某家公司正在執行滲透測試，這種狀況下存在一定的風險。有些人可能認為外國的月亮比較圓，但他就曾看過一個外國顧問是照著書本打指令，他也只能在後面直搖頭。

費用：標準的滲透測試所費不貲，至少都是上百萬元，國內廠商的報價大約100~200萬元之間，國外廠商則是300萬元以上，如果有到企業內部進行測試，那費用又會更高，所以有些企業考慮分階段實行滲透測試，費用大約是30至50萬元（視企業需求和廠商而定）。在計費方式上，有些廠商是以「人/天」計價，也有廠商以年約計價，或許都有商量的空間，但我們仍要再次提醒，一分錢一分貨，如果價錢太低，你可能就要擔心測試的品質。依客戶需求量身打造每個專案

評估完廠商之後，相信你對滲透測試也有一定的了解，再來就是與顧問討論企業的需求。首先要釐清有哪些系統要進行測試，如果數目或範圍過大，是否該考慮分階段實施，是否要給予應用程式的原始碼，是否要執行內部測試（onsite），是否執行DoS攻擊等，舉例來說，如果擔心駭客入侵，自然要從外部進行測試，但如果是擔心內賊問題，就要從內部執行測試。

在需求方面，有幾個要考慮的地方：

執行時間：標準的滲透測試專案大約需要1個月，包括收集需求、進行測試與報告撰寫，有些大型專案可能需要2~3個月的時間。

張裕敏表示，光是執行合約所列出的檢查項目，大約就需要1個星期，之後還要再利用取得的資料，思考新的攻擊方式，寫出攻擊程式，嘗試各種攻擊手法，而且因為環境不同，都會有不同的狀況。

李欣陽表示，敦陽會依客戶需求來制定工作天，可能會是5、10、15或20個工作天，但標準是20個工作天，有特殊需求也可延長到30個工作天。國外廠商一般是以14個工作天為基準。

執行次數：由於滲透測試只要找到漏洞就可以一直往下鑽，所以並沒有「完整」的滲透測試，建議企業最好定期執行滲透測試。如果是第一次執行滲透測試，由於漏洞修補和安全政策還未穩定，最好半年後再執行一次，也就是第一年執行兩次，之後每年執行一次，不過，也有些企業一年執行數次。另外，企業也可以考慮簽訂年約，例如一年執行2次，其中一次的時間固定，另一次則依狀況機動調整。

到府服務：如前面所述，如果要找出內賊或內部問題，就必須從企業內部進行測試。對廠商而言，顧問的時間全部都用在該企業，無法做其他的事，成本增加，收費自然也要增加，而且大部分的資料都存放在廠商內部，原本1分鐘能做找到的資料，現在可能要花10分鐘，收費大約是一般的3到4倍。

安全稽核：滲透測試可以用來稽核安全設備（防火牆、入侵偵測）是否正常運作。敦陽科技專業技術建置服務群資訊安全事業處協理葉肩宇表示，比較有規模的企業，除了資訊部門，可能還會成立安控或稽核部門，滲透測試可以用來測試資訊部門的警覺性，對於資安委外的企業而言，也可以檢測SOC廠商的能力。

另外，國外有一些大型企業和政府機關會執行社交工程，以電話、偷竊或賄賂等方式騙取資料，但因為國情不同，很少臺灣企業會執行社交工程測試。在DoS測試方面，為了避免對企業造成損害，廠商通常會建議不要執行此測試。

滲透測試沒有標準化流程
滲透測試有沒有標準的流程或方法？如果每家企業都長得一模一樣，那滲透測試也許會有標準的流程和方法，可惜並非如此，所以滲透測試並沒有標準的流程或方法。

在專案流程方面，各家家廠商的流程大同小異，可區分成6至7個步驟，從最初的需求確認、資料收集、資料分析、進行滲透、撰寫報告、顧問諮詢，到最後的系統補強。

在技術流程方面，因為每個滲透測試專案都是依照企業所提出的需求，量身打造專屬的內容，加上每個執行者會有不同的邏輯思考，使用的工具與方法也因人而異，但這些資料都被廠商列為商業機密。

林佶駿表示，雖然目前並沒有標準的滲透方法論，不過在測試漏洞的方法中，已經有一些標準出現，例如針對網頁應用程式（Web Application）的OWASP，或者是以OSSTMM（Open-Source Security Testing Methodology Manual）方法學為基礎。然後結合實務經驗的領域知識（Domain Knowhow）與技巧，搭配各種工具程式，依照不同系統環境的狀況，設計出符合現實使用環境的假想測試情境，再依照不同模式進行測試。報告是滲透測試的真正價值

測試完畢，大家最關心的就是報告與諮詢。報告的分析內容也是整個滲透測試的真正價值。當企業在制訂合約時，應該明訂報告的內容，包括發現的弱點、補救的措施及改進的建議等。另外，也要注意專家「寫報告」和「解說」的能力，如果報告有看沒有懂，解說有聽也沒有懂，那不就等於沒做測試一樣，在簽約前，最好能先與顧問交談過，不僅能了解他們的技術能力，也可確認彼此是否能夠溝通。

一般報告的內容會包含整體結果、滲透過程、取得哪些資產、相關問題、如何修正及安全建議等。

張裕敏表示，滲透測試最終的結果不只是入侵成功報告，鈺松還會提供風險報告，因為沒有入侵成功，不代表沒有弱點，可能是因為時間不夠或技術能量不足，如果時間增長，也許就能找出來，所以鈺松會說明為什麼要作這種攻擊，以及它可能潛藏的風險，做為企業下一次執行滲透測試的參考指標。

李欣陽表示，報告內容大致可區分成既有風險與潛在風險，既有風險也就是滲透測試所得到的結果；因為滲透測試仍有其方法與時間的限制，所以有些部分無法實際進行測試，但專業的駭客則可以達成，也就是潛在風險。在報告的最後，敦陽會列出整體評估，說明應該如何去補強，並列出解決方案。

林佶駿表示，他看過國外的滲透測試報告，就只有3張紙，說明主機的IP位址、有哪些風險、如何解決，相當的簡略。敦陽會產生兩份報告，一份給高階主管，讓高階主管了解目前的安全狀況，另一份則是給IT人員，詳細介紹弱點資訊、如何修補，希望能減少IT人員的負擔。在顧問諮詢方面，如果是新發現的漏洞，敦陽會協助企業向原廠取得修正檔；如果裝置無法更新修正檔，該如何處理；對於企業自行撰寫的應用程式，則會重新檢視程式原始碼，告知開發人員該顧慮到哪些點、如何修改和過濾某些字串等。

誰來承擔風險
為了預防滲透測試可能造成的風險，國外在進行測試前會先投保，可惜的是，國內並沒有相關的法令與案例，也無法定義出企業的資產價值，所以企業只能靠自己解決風險。

不管做什麼，只要是跟人有關，就一定有風險。在廠商進行滲透測試簡報時，應該都會提供顧問簡介，說明他們的學經歷和專業能力，例如具備哪些證照、發表過哪些作文章、參與的專案，如果是跟軍事單位打交道，那身家調查更是免不了。

陳彥銘說：「滲透測試的主要風險在於顧問公司的背景、顧問本身的專業程度與可信賴度。」國外廠商大多拒絕雇用有前科的人擔任資訊安全顧問，Foundstone的一家客戶就曾要求顧問必須通過藥物濫用測驗，一般大概只有去 CIA 面試才需要經過測謊及藥物濫用測驗，可見企業對顧問的嚴格要求。企業也會擔心執行者反而變成內賊，造成更大的損害，或是測試期間因為執行者的疏忽，造成服務中斷或其他問題。其次，滲透測試的內容是否能在期限內做完，如果做完沒有什麼結果，那要如何稽核測試者作過什麼測試？這些測試內容結果又是什麼？Foundstone有提供標準的RFP供企業參考。

張裕敏表示，滲透測試可分成破壞性及非破壞性攻擊，破壞性攻擊（例如DoS攻擊）可能會造成系統當機或毀損，所以當滲透測試執行到一定程度之後，鈺松會先在實驗室進行模擬，確定沒有問題之後，才會進行測試，如果可能造成主機毀壞，那就會改採報告的型式，說明可能的危害。而且為了預防企業資料外洩，除了每個人都要簽訂NDA之外，滲透測試是在專屬的房間，專屬的IP及專屬的電腦上執行，鍵盤所敲的任何指令都會記錄下來，唯一可以帶走的只有腦袋裡面的知識。由於在執行測試時，測試端會送出大量的封包，所以有可能造成網路壅塞變慢。

林佶駿指出，當他們在執行滲透測試時，也許駭客正在做同樣的事，如果造成系統當機或毀損，那麼是駭客造成還是滲透測試造成，就有待釐清。曾有一個客戶，只是執行簡單的Port Scan就造成主機當機，如果該主機是重要伺服器，那結果將無法想像，為了降低風險並保護客戶，敦陽在合約中會要求客戶做好資料備分。另外，測試人員也會避開營業時間，並要求該公司的人員在主控端待命，以便隨時支援。

要注意的是，在滲透測試前一定要備分資料，有些企業會因為缺乏經費進行備分工作，所以未備分資料，等到真的發生問題時，將後悔莫及。

最後，我們仍要強調，滲透測試結果必須是對系統無害的，不能導致服務停止或系統毀損，不然就失去原本的目標的效益。安全沒有終點

許多企業主管看到滲透測試報告後可能會「昏倒」，想不到花了這麼多的成本，結果竟是如此，這也是許多企業不敢執行滲透測試的原因。執行滲透測試後，除了要修補現有的弱點，還要調整網路架構、重整系統架構和資安設備，重新制定安全政策，甚至委托廠商代管等，所以執行完滲透測試不是終點，而是資訊安全的起點。

安全是沒有極限的，產品負責第一道防線，滲透測試可以檢驗這道防線是否堅固，而且它也是一個極佳的演練機會，讓IT人員體驗駭客入侵時可能會發生的各種狀況，以免到時候荒了手腳。

滲透測試的市場狀況
國外接受滲透測試這個觀念是比較早的，像美國的花旗銀行早在5、6年前（1996年）就已經開始執行滲透測試，國內大概是從1999年開始有廠商推廣，但直到2002年，才有比較多的國內企業「接受」滲透測試。

在臺灣本土廠商之中，有能力（人力、技術、經驗）執行滲透測試服務的廠商並不多，至少筆者只知道鈺松和敦陽這兩家，當然也有廠商是掛羊頭賣狗肉，假滲透測試之名，卻行弱點掃描之實。

至於國外廠商則有很多選擇，包括5大會計師事務所、Foundstone、ISS、Symantec、IBM、HP、True Security……等廠商，都有提供滲透測試服務，但是就筆者了解，有些國外廠商並未在臺灣提供此項服務，而是會找合作夥伴執行，或以弱點掃描取代，至於是商業考量、人力不足，還是技術不夠，就留待你去解答。

就陳彥銘的觀察，亞洲對「服務價值」的觀念跟美國不同。在美國，服務是有價的，但在亞洲，很多服務是無價的，因此資訊安全產品在亞洲賣的比單純服務（弱點掃描、滲透測試、SOC）好。在亞洲，各個國家的情況也不同，例如新加坡MAS規定每家銀行每年要從事滲透測試，但亞洲其他國家就沒有這項規定，他認為亞洲人的心態比較傾向「不見棺材不掉淚」，事情沒發生到頭上就不會在乎。以保險來說，亞洲人買保險的比例比歐美來得少，因為亞洲地區比較不注重事先預防，而比較注重事後防範，這也可以解釋為什麼臺灣人工作時數是全世界屬一屬二的長，因為大多是隨著事件發生而作出應變，沒有在事前先做好保險，有很多時間都是在應付檢查，而不是在想怎樣讓自己更安全。

另外，在美國，網頁應用程式（Web Application）測試跟一般的滲透測試是分開的，因為美國的滲透測試比較注重網路、作業系統及服務（例如IIS）的測試，但是亞洲因為認知不同，所以都湊在一起測試，容易造成疏忽和日後遺憾。美國也有很多產品安全測試，但是亞洲自行生產的產品較少，因此這方面的市場較小。

葉肩宇表示，去年臺灣的資安市場整個大洗牌，有的廠商倒閉，有的傳出財務危機，人員異動和挖角的案例也不少，敦陽是從客戶的需求面切入資訊安全服務市場，而且擁有資訊安全最重要的元素-「人」。文⊙陳世煌