公司內部的資安檢核,常常出現的手法有兩種,一個是Penetration Testing,另一個是Vulnerability Test。 我們先從Vulnerability Test 說起好了。
漏洞測試 (Vulnerability Test) ,又稱弱點掃描,是一種主動性的安全評估方式。它利用專門的工具或技術,對系統、應用程式或網路進行掃描,以發現潛在的漏洞、弱點或配置錯誤。這些漏洞可能被惡意攻擊者利用,造成資訊洩漏、系統癱瘓等嚴重後果。
傳統都是手動,因為是請專業人員,所以可以深入靈活的發現漏洞,但耗時、成本較高。所以一般目前常用的是,自動化掃描工具,例如,OWASP ZAP、Nessus、OpenVAS、Qualys、Nmap等。但,結果可能產生誤報或漏報,自動化並無法發現所有漏洞。所以可以再請專業人員加測。還有,模糊測試 (Fuzz Testing),是利用程式向系統輸入大量非預期的、隨機的或邊界值資料,以發現系統的異常行為或崩潰。當然,在開發初期,我們可以先從分析軟體的源代碼,找出潛在的漏洞。例如,DevSecOps。