iT邦幫忙

2021 iThome 鐵人賽

DAY 1
4
Security

資安這條路─系統化學習滲透測試系列 第 1

Day1 滲透測試定義與資安服務比較

  • 分享至 

  • xImage
  •  

何謂滲透測試

以駭客的角度,針對企業的網路、系統、網站進行檢測弱點與漏洞,並撰寫一份滲透測試報告提供給企業,該報告內容包含測試過程結果與修復建議,企業收到此報告後,可根據報告內容進行弱點修復。

為什麼要做滲透測試

企業內部常有敏感資料(客戶資料、業務資料、財務資料等)、公司資產、企業的 Know How,這些資料若被駭客取得並且流於市面,可能造成業務財產損失重大。

因此在被惡意駭客利用弱點或漏洞攻擊之前,先委託資安公司進行滲透測試,針對公司的網路、使用系統與網站是否安全。

滲透測試目標與範圍

滲透測試的目標,針對企業所使用的:

  1. 應用程式(包含但不限於網站系統設備等軟硬體)
    • 標的不管是自行開發、委外給第三方開發、或購買他人服務/設備皆算範圍
  2. 網路服務
    • 企業內部網路/網段

受測試方主要需提供以下資訊,供測試方進行時程評估與報價:

  1. 測試域名/IP(須證明合法持有該域名/IP)
  2. 是否限制特定時間進行檢測
  3. 其他需求

測試目標需要與企業進行溝通與接洽,確認目標後進行簽約,保障雙方權益。
因測試行為可能會構成刑法妨害電腦使用罪等罪名,因此需要透過簽約,取得合法授權,再進行滲透測試。

滲透測試的測試類型

根據受測試方提供的資訊與接洽的結果,可根據測試目標所獲得的資訊量,分成以下三種滲透測試類型:

  1. 黑箱測試
  2. 白箱測試
  3. 灰箱測試

黑箱測試

  • 甲方只提供目標的名稱/網址/IP
  • 乙方需要自行蒐集資訊

進行黑箱測試,除了知道目標名稱和 IP 之外,受檢測方沒有提供其他資訊,以模擬惡意的攻擊者,針對性進行攻擊的狀況。因為沒有太多資訊,因此需要花費許多時間在「蒐集資訊」的時間,測試方會花費大量的時間與成本(導致報價也會提高)。

可透過設定條件減少檢測成本,以受測網站帳號密碼被竊取為出發點,受檢測方提供帳號密碼,可加入測試方檢測時間。

白箱測試

  • 甲方提供目標的各種資訊(基礎建設部屬與程式碼)
  • 乙方可事先針對程式碼進行審查,擬定攻擊的方式

進行白箱測試,受檢測方提供目標的內部結構、基礎設施與應用程式的程式碼、帳號密碼與目標的所有資訊。

灰箱測試

  • 甲方盡最大的能力提供目標資訊
  • 乙方仍需要透過自行蒐集資訊

藉由白箱與灰箱之間,測試人員取得有限的目標資訊,可能因為程式、系統委外給第三方開方,因此沒有詳細的服務手冊。

滲透測試能檢測到的弱點/漏洞

測試人員以滲透工具與檢測手法,發現目標系統/網站存在,以下但不限於的弱點/漏洞類型:

  1. 未經授權可存取/修改/刪除敏感資料
  2. 因人為設定錯誤,導致敏感資料外洩
  3. 已發布重大漏洞但尚未更新的服務/系統/韌體/作業系統
  4. 開發過程中注意的業務邏輯漏洞

資安服務的比較

常見的資安服務分成弱點掃描、滲透測試、紅隊演練。

弱點掃描

以弱點掃描軟體進行針對企業的固定範圍如企業內部網段或企業指定網站,可分成以下兩種:

  1. 網路弱點掃描
    • 常透過商業掃描軟體 Nessus、開源軟體 Open VAS 針對企業網路內部尋找企業的服務、系統是否存在已知的漏洞,類型通常為作業系統版本、插件版本過低。
  2. 網站弱點掃描
    • 常透過商業掃描軟體 Acunetix Web Vulnerability Scanner(AWVS)、開源軟體 OWASP ZAP 針對企業網站進行檢測,漏洞類型通常為 SSL 版本過低、TLS 版本脆弱、Cookie 未加上 Httponly 或 secure 等弱點。

常有誤判的可能性,因此要透過人工驗證確認是否有誤判。

紅隊演練

以企業整體進行演練,包含完整滲透測試、後滲透(橫向移動等),依據客戶需求可能包含社交工程、 DDoS、實體安全。

重點統整

  1. 滲透測試的定義
  2. 滲透測試的目標與範圍
  3. 滲透測試的類型
  4. 常見的資安服務比較

下一篇
Day2 滲透測試流程與相關規範
系列文
資安這條路─系統化學習滲透測試37
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1
CyberSerge
iT邦好手 1 級 ‧ 2021-09-26 01:23:12

好清晰的圖表!一目了然

據我的經驗,現在還有一種服務很流行,介於弱點掃描和滲透測試之間,主要是弱點掃描後,直接運用一些script自動進行滲透測試,一方面確認是否弱點掃出來正確,另一方面確認防禦方是否能有效偵測、阻隔,算是purple team的一種吧?

飛飛 iT邦研究生 5 級 ‧ 2021-09-26 12:11:08 檢舉

這次每一篇文章都會附上利用 XMIND 做的圖卡~

飛飛 iT邦研究生 5 級 ‧ 2021-09-26 12:17:36 檢舉

您提到的介於弱點掃描和滲透測試之間,是指 BAS(Breach and Attack Simulation)這種類型的產品嗎?

BAS(Breach and Attack Simulation) 為滲透與攻擊模擬的自動化與智慧化,透過撰寫好的腳本進行攻擊演練,主要有兩種類型:

  1. agent 型,直接部屬在企業內部環境
  2. 設定靶機形式,並非直接於生產環境中執行

兩種部屬類型會以設定好的劇本進行演練(自動化攻擊/檢測),可以根據結果確認公司內部的防禦設備/SOC 是否能確實偵測到。

如果是指 BAS 的確是屬於 purple team,也是現在的趨勢,因為紅隊、藍隊必須要合作,才能提升企業整體安全性。

Ref.從紅隊角度看 MITRE ATT&CK®-了解 APT Group與自動化模擬攻擊 BAS

是的,BAS服務或產品所需經費相對於紅隊演練低,如果是產品的話,只要腳本更新,就可以針對當前最新的0-day或廣被開採的漏洞進行演練,測驗偵測與防禦能力。即使沒有紅隊專才的團隊,也可以透過這種方法反覆測試驗證,無論組織資安成熟度為何,都有幫助。

我要留言

立即登入留言