以一個月發一篇的速度,怕是還發完就關賽了...
適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法 - 附表十資通系統防護基準.PDF
安全性檢測
滲透測試
如果說弱點掃描只是列個清單的好好先生,不痛不癢的還可以賴皮說有誤判,那麼本篇的滲透測試就是實實在在的暴燥壞蛋,一不開心可能直接將您打回老家了。測試的結果除了列出可利用的漏洞外,還會詳細說明了攻擊手法與結果,想賴都都賴不掉,很糟糕的技術呀(誤
從上述可知,滲透測試更像是一種技術、行為,但這裡仍然列出可自動化的軟體以便符(一ㄥˋ)合(ㄈㄨˋ)規範。
滲透掃描的適用範圍與弱點掃描沒有太大的不同,簡單區分就是淺與深的程度,弱點掃描能夠快速的產出、成本較低,使用也較頻繁,法規規定每年至少一次。而滲透掃描的思維是模擬駭客的攻擊,因此使用的手法多、組合性也多,成本較高的情況下,規定每2年執行一次即可。
滲透測試的技術門檻較高,如果要認真起來,請尋找一家經驗豐富的廠商,給予充足的時間,再進行手動會可靠的多,當然 $$ 也隨之高漲。