以駭客的角度,針對企業的網路、系統、網站進行檢測弱點與漏洞,並撰寫一份滲透測試報告提供給企業,該報告內容包含測試過程結果與修復建議,企業收到此報告後,可根據報告內容進行弱點修復。
企業內部常有敏感資料(客戶資料、業務資料、財務資料等)、公司資產、企業的 Know How,這些資料若被駭客取得並且流於市面,可能造成業務財產損失重大。
因此在被惡意駭客利用弱點或漏洞攻擊之前,先委託資安公司進行滲透測試,針對公司的網路、使用系統與網站是否安全。
滲透測試的目標,針對企業所使用的:
受測試方主要需提供以下資訊,供測試方進行時程評估與報價:
測試目標需要與企業進行溝通與接洽,確認目標後進行簽約,保障雙方權益。
因測試行為可能會構成刑法妨害電腦使用罪等罪名,因此需要透過簽約,取得合法授權,再進行滲透測試。
根據受測試方提供的資訊與接洽的結果,可根據測試目標所獲得的資訊量,分成以下三種滲透測試類型:
進行黑箱測試,除了知道目標名稱和 IP 之外,受檢測方沒有提供其他資訊,以模擬惡意的攻擊者,針對性進行攻擊的狀況。因為沒有太多資訊,因此需要花費許多時間在「蒐集資訊」的時間,測試方會花費大量的時間與成本(導致報價也會提高)。
可透過設定條件減少檢測成本,以受測網站帳號密碼被竊取為出發點,受檢測方提供帳號密碼,可加入測試方檢測時間。
進行白箱測試,受檢測方提供目標的內部結構、基礎設施與應用程式的程式碼、帳號密碼與目標的所有資訊。
藉由白箱與灰箱之間,測試人員取得有限的目標資訊,可能因為程式、系統委外給第三方開方,因此沒有詳細的服務手冊。
測試人員以滲透工具與檢測手法,發現目標系統/網站存在,以下但不限於的弱點/漏洞類型:
常見的資安服務分成弱點掃描、滲透測試、紅隊演練。
以弱點掃描軟體進行針對企業的固定範圍如企業內部網段或企業指定網站,可分成以下兩種:
常有誤判的可能性,因此要透過人工驗證確認是否有誤判。
以企業整體進行演練,包含完整滲透測試、後滲透(橫向移動等),依據客戶需求可能包含社交工程、 DDoS、實體安全。
好清晰的圖表!一目了然
據我的經驗,現在還有一種服務很流行,介於弱點掃描和滲透測試之間,主要是弱點掃描後,直接運用一些script自動進行滲透測試,一方面確認是否弱點掃出來正確,另一方面確認防禦方是否能有效偵測、阻隔,算是purple team的一種吧?
這次每一篇文章都會附上利用 XMIND 做的圖卡~
您提到的介於弱點掃描和滲透測試之間,是指 BAS(Breach and Attack Simulation)這種類型的產品嗎?
BAS(Breach and Attack Simulation) 為滲透與攻擊模擬的自動化與智慧化,透過撰寫好的腳本進行攻擊演練,主要有兩種類型:
兩種部屬類型會以設定好的劇本進行演練(自動化攻擊/檢測),可以根據結果確認公司內部的防禦設備/SOC 是否能確實偵測到。
如果是指 BAS 的確是屬於 purple team,也是現在的趨勢,因為紅隊、藍隊必須要合作,才能提升企業整體安全性。
是的,BAS服務或產品所需經費相對於紅隊演練低,如果是產品的話,只要腳本更新,就可以針對當前最新的0-day或廣被開採的漏洞進行演練,測驗偵測與防禦能力。即使沒有紅隊專才的團隊,也可以透過這種方法反覆測試驗證,無論組織資安成熟度為何,都有幫助。