如果你要問的是: 我能不能百分百確保不被入侵?

我的答案是:
資安世界裡, 沒有百分百肯定的事情

通過 PT, 只能證明:
你的系統, 無法被能力低於 PT 廠商的人入侵.

但不能保證:
你的系統, 無法被能力高於 PT 廠商的人入侵.

所以你的系統有多安全? 取決於你的 PT 廠商能力有多高.

通過規範檢查也不代表全部都安全, 規範只是提醒你: 幾個特別高風險要注意的事項. 所以你去看 OWASP Top 10-2013 vs. -2017, 兩個規範內容不一樣, 那是因為 2017 覺得有一些風險已經改變, 跟 2013 不一樣, 所以改了 Top 10 的項目; 但....這並不代表 2013 那些風險就不見了, 它們還是依然存在啊!!

所以我們不能說: 我把 OWASP Top 2017 報告修到滿分, 就連 2013 Top 10 也會一起滿分了. 事實上, 報告只告訴你: 你補好了最近 2017 年比較流行的 10 大漏洞而已, 並不代表你補完了其他六萬六千多種漏洞.....

就算你今天把所有已知的漏洞都補完, 就萬事無缺了嗎?
也不是....

每天都有數種新的漏洞被挖掘出來 (歡迎追蹤: 雷神講堂),
白帽駭客發現漏洞, 通常會遵循正常管道通知併發佈出來;

可是.....黑帽駭客呢?
他們發現漏洞, 會那麼好心的通知所有資安廠商和全世界嗎?
還是自己收在口袋裡面, 不告訴別人, 然後躲在暗處偷襲你?

如果黑帽不公布, 做滲透的人, 要到何時才會知道有這個漏洞?

再來, 漏洞被發現了, 那麼你多久可以補好?
一小時? 一天? 一周? 一個月?
中間這段沒有辦法補洞的零時差(Zero Day)怎麼辦?

所以, 風險永遠存在, 只是有沒有被揭露和補完而已.
你能預防千萬個已經被揭露的風險,
卻永遠有個未揭露的風險躲在暗處.

因此, 安全不是掃一次就沒事了, 其實是要隨時監測各種變化, 例如: 部署 HIDS/NIDS 入侵偵測系統, 建立 SOC 維運中心, 24hr 快速反應. 同時遵守 1-10-60 反應週期:

1 分鐘內測出系統有異常入侵
10 分鐘內辨識出入侵的手法
60 分鐘內部署阻止入侵的機制

別忘了, SoC 面對的是未知的手法, 所以市面上現有自動化程式或設備不見得管用, 真正有用的還是人腦和眼睛, 以及在面對攻擊來襲的高度壓力下, 還能臨場發揮的創意防禦能力.....

我鑑識過某個入侵案件, 在真正把手伸進來主機之前的 6 小時, 網路上就已經可以追蹤到對方探路的足跡:

對方很聰明, 選擇在凌晨 00:00 開始探測網站的弱點漏洞, 02:00 開始撰寫入侵程式並測試, 且 探測/編程/入侵 這三項工作, 分別由三個不同的團隊, 從不同的來源發動, 以躲避自動化系統的偵測和阻擋, 最後在 06:00 之前完成入侵並取走資料.....這段時間, 大部分網站管理員, 應該都還在睡覺吧?...

(順便一提, 該網站事前已經通過 OWASP Top 10 的檢測)

安全防禦不是做一次, 或半年一次, 一年一次就能高枕無憂,
他是分分秒秒都在戰鬥的事情....讓你連睡覺的時間都沒有.

--------- 我是分隔線

但若你問的是: 我這樣做是不是夠安全?

我很樂意告訴你:
你們已經比其他 90% 的網站要好太多了!!

1.夠安全
2.有需要

資安很重要, 但很多公司往往沒有沒想花太多成本在它身上, 但往往一次的破壞, 就能讓它損失慘重的.

1.做過滲透測試服務，找到一些問題並改善，自然比以前安全。但並不表示完全不會被駭(原因前面有前輩解釋得很詳盡了)
2.如果預算不是問題，每年一次滲透測試就當作健康檢查/資安健診，看過去系統上的改變是否造成整體安全性下降。
如果預算比較吃緊，應該依據需要採購

在決定要砸多少錢在滲透測試甚至是設置偵測入侵的網路設備上之前，你要評估的是你的資產價值是不是有相對高的價值去投資防禦工事。

你有一百萬價值的資產，然後你投資了一百萬在防禦工事上，就算可以把可能性跟嚴重性都將到0%，這很明顯還是不符合效益的。但是如果是一千萬的資產，這時候你投資的一百萬假設足以讓發生資安事件的可能性或是嚴重性降低80%或以上，那麼這一百萬就是值得的。

這個價值的衡量必須要跟公司的營運有掛勾，畢竟就像雷神大所說的，資訊安全是沒有絕對的，光是2018年一年內，被舉報出來的漏洞就多達1萬7千多個(by白帽駭客)。除了滲透測試(要花錢的)，其實應該更著重在利用當前可用資源的前提下(不花錢的)，做好員工資安意識的教育、員工的訪問控制、程式推出的流程與測試、備份、加密、內部稽核等等，因為這些是不需要花錢的，而且得到的效益並不會比你做滲透測試
來得低，更何況滲透測試花出去的錢，基本上是沒有回收可言的。

回到你的問題，廠商建議每年做一次滲透測試。的確國際上很多的標準或規範，都有提到要"定期"的做滲透測試，這是一種做法，但其實也有其他免費可以取代的方案，例如利用open source的工具做source code analysis或dynamic testing等等，我這裡推薦幾個好用又知名的給你

MobSF 可以做andriod跟ios的手機app白箱測試，運行在python上
OWASP - Dependency Check
FxCap 針對.NET語法的白箱測試
AWstats 針對IIS weblog做的流量分析、可以辨別出攻擊跟異常請求
以上都是免費又好用的替代方案

也分享最近朋友公司遇到的一些經驗，我朋友前公司就也是因為資安做的不完全，所以也有被駭，印象中他們被駭那一次也是有點慘(賠了好幾萬.....)，他後來換到新公司，就也立刻跟部門成員討論跟規劃，找專門的資安公司規劃做後滲透及滲透測試，其實一測試下去真的也才會發現很多漏洞的地方，也不能說做了一次就不會被駭，但有規模或是有重要資料的中小企業，真的建議還是要撥一筆預算在資訊安全上。