iT邦幫忙

2021 iThome 鐵人賽

2
Security

作業抄起來!資通安全管理法什麼的系列 第 33

盤點清查與檢測掃描 - 安全性檢測

以一個月發一篇的速度,怕是還發完就關賽了...
https://ithelp.ithome.com.tw/upload/images/20211202/20103688lDSbHi8mJc.png


適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法 - 附表十資通系統防護基準.PDF

  • 技術面分類提要
  • 網路架構的檢視
  • 端點的安全防護
  • 應用開發的防護基準
  • 盤點清查與檢測掃描
    • 盤點文件、清查舊系統、帳號
    • 安全性檢測
      • 弱點掃描
      • 滲透測試
  • 資通安全健診

如果說弱點掃描只是列個清單的好好先生,不痛不癢的還可以賴皮說有誤判,那麼本篇的滲透測試就是實實在在的暴燥壞蛋,一不開心可能直接將您打回老家了。測試的結果除了列出可利用的漏洞外,還會詳細說明了攻擊手法與結果,想賴都都賴不掉,很糟糕的技術呀(誤

從上述可知,滲透測試更像是一種技術、行為,但這裡仍然列出可自動化的軟體以便符(一ㄥˋ)合(ㄈㄨˋ)規範。

  • metabolic: 免費,但仍偏向與其他軟體配合才能達到自動化,可參考 認識 Metasploit
  • rapid 7 : 商業軟體。其實也就是收購上面 metabolic 的公司...
  • sqlmap:針對 SQL injection 的工具
  • Burpsuite: 商業軟體(謎之聲: 但人手一套是怎麼回事)
  • 其他: 目前實在是沒測試到有免費或好用的完全自動化軟體,有找到再補吧...

滲透掃描的適用範圍與弱點掃描沒有太大的不同,簡單區分就是淺與深的程度,弱點掃描能夠快速的產出、成本較低,使用也較頻繁,法規規定每年至少一次。而滲透掃描的思維是模擬駭客的攻擊,因此使用的手法多、組合性也多,成本較高的情況下,規定每2年執行一次即可。

滲透測試的技術門檻較高,如果要認真起來,請尋找一家經驗豐富的廠商,給予充足的時間,再進行手動會可靠的多,當然 $$ 也隨之高漲。


上一篇
完賽心得
下一篇
盤點清查與檢測掃描 - 資通安全健診
系列文
作業抄起來!資通安全管理法什麼的34

尚未有邦友留言

立即登入留言