科技趨勢 2021/09/30 Show 弱點掃描VS滲透測試,有何差別?3分鐘了解兩者差異和運作流程面對網路駭客日新月異的威脅,讓企業或個人越加重視網路世界的安全防護。資安防護除了防火牆、防毒軟體和安全防禦系統外,弱點掃描和滲透測試也是資安的重要技術之一。弱點掃描和滲透測試兩者有何不同?現在就利用3分鐘時間,一起來了解兩者之間的差異和運作流程。 弱點掃描&滲透測試 運作流程及差異說明偵測系統安全與否一般會採用弱點掃描和滲透測試,兩者差異及運作流程簡單說明如下:
透過自動化掃描軟體工具偵測作業系統與軟體系統的弱點,可用較低的成本在較短的時間內完成修正,但缺點是僅能檢測出既有的安全漏洞,針對最新的資安漏洞無法給予修補建議。其運作流程分成以下兩步驟:
由經驗豐富的資安專家以駭客思維嘗試攻破企業系統,利用不同的弱點進行組合式攻擊,驗證任何可能突破網站防禦系統的入侵漏洞,積極評估組織基礎結構或系統的安全性,並徹底完成修補。其運作流程分成以下五個步驟:
弱點掃描&滲透測試,使用工具和情境有哪些?弱點掃描和滲透測試分別適用在什麼情況?以及常見的檢測工具分別有哪些?簡單說明如下:
主要用在修補作業系統服務層、網頁伺服器、網頁服務元件、網頁應用程式、開放原始碼的網頁應用程式碼、網站管理後台的漏洞。弱點掃描有針對網站(網頁)和系統弱點掃描,網站(網頁)弱點掃描,採用工具主要有Acunetix、Web Vulnerability Scanner;系統弱點掃描工具為Tenable Nessus Professional。
攻擊者透過企業的應用程式,使用不同路徑損害組織的商業機密或資產,每個路徑都代表著一種風險,可能造成企業或大或小的損失。企業應隨時檢視可能遭受的威脅、攻擊媒介、安全漏洞等,才能對組織的商業機密和業務影響作出有效的評估。 掃描檢測工具主要有Acunetix、Web Vulnerability Scanner、Tenable Nessus Professional等網站安全檢測工具,其它還有像是Burp Suite、Metasploit、Nmap、Brutus、Canvas等。此外,針對開放原始碼的安全測試方法則有OSSTMM、ISSAF、NIST、OWASP。 弱點掃描&滲透測試 常見問答
蓋亞資訊的專業資安健檢方案,提供弱點掃描、滲透測試、原始碼檢測等服務。其專業服務具備以下3點特色:
還在為公司該採取何種資安防護措施大傷腦筋嗎?蓋亞資訊提供專業SOC資安方案,不僅具備全方位偵測能力、一週7天一天24小時不間斷監控服務,還能隨時更新並分析全球威脅情資,並給予資安預警通報與防護建議,幫助企業避開惡意入侵或黑客行為。現在就歡迎與我們聯繫,讓蓋亞資訊為您量身打造弱點掃描及滲透測試服務! 讓我們來告訴你 什麼是弱點掃描?弱點掃描就像是幫網站健康檢查這一篇文章帶你簡單了解。為什麼要做弱點掃描,什麼是弱點掃描? 簡單說資安弱點掃描好比做健康檢查。人每年都要定期做健康檢查,你的網站也是要定期做健康檢查。可能有人覺得自己沒什麼事情幹嘛花錢檢查, 但其實健檢目的為從種種方式檢驗身體情況,找出可能潛在身體問題。 弱點掃描資安檢測亦是如此,透過不同的弱掃方法做資訊安全的健康檢查,且大多數企業對於網站安全的缺乏,企業自認為做足了資安預防措施,導致網站資安漏洞百出。透過弱掃可有效了解資安狀況,為網站健康著想,找出潛藏的漏洞,加以調整補救。 透過弱點掃瞄可以試著去觀察我們的網站應用程式是否有弱點。當駭客攻擊的時候,利用這些弱點順利的攻擊到我們的系統,去做一些未授權的事情。定期做弱點掃描,能將更新的弱點提供給開發者或資安稽核,確保網站應用程式的安全。 到底漏洞怎麼發生的? 為什麼要做弱掃?為什麼要做弱掃,不知不覺中你也不知道漏洞到底是怎麼發生的? 漏洞發生通常是很多原因造成的,這邊說明幾個可能發生的因素讓大家更了解。
弱點掃描項目不同,該怎麼挑適當項目做健檢? 當你查詢健康檢查時,檢查項目和類別琳瑯滿目,你清楚要做什麼檢查項目嗎?
黑箱掃描是什麼? 包含弱點掃描和滲透測試這章節稍微幫大家介紹黑箱和白箱掃描,前面介紹的弱點掃描主要是透過自動工具偵測作業系統與軟體系統的明顯弱點,這些弱點比較容易被發掘,只要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點,而這些弱點都會在最短時間內被修正。 滲透測試 以駭客思維突破企業系統揪出弱點那滲透測試指的是什麼呢?滲透測試和弱掃一樣的地方都是由外部黑盒子(黑箱測試)揪出弱點,非以軟體自動化掃描。 捕夢網累積豐富的資安專家以駭客思維突破企業系統,利用不同的弱點進行多組合性攻擊,驗證任何可以突破網站防禦系統的入侵漏洞,進而評估系統的安全性,並徹底完成修補,可以找到的弱點比弱點掃描找到得更多。 原始碼掃描、靜態代碼掃描即白箱掃描 這邊的原碼檢測指的就是白箱掃描,白箱指的是可以找出Source Code的漏洞,主要用如網頁開發中或完成但未上線時測試。常用以檢查為主,程式碼檢核工具是透過程式來檢查軟體,協助資訊人員找出大量程式撰寫問題,並根據程式碼的內部構造去做測試。 原碼檢測如同核磁共振檢測 最高規格的健檢原碼檢測好比你去做高規格、最全面核磁共振身體檢查,從頭到腳的全面性最精確的身體斷層掃描健檢。如同我們去醫院做核磁共振斷層磁掃描,幫程式做非常完善、完整的檢查。不像前面說明的大腸鏡檢測或抽個血檢測相對是較簡單的健檢,原碼檢測可以比喻為高階、高規格的健康檢查。 如何讓軟體程式防駭無漏洞? 源碼檢測通常以檢視原始程式碼的方式,指出程式中潛在的安全性弱點,分析其弱點種類、攻擊路徑等資訊種種的精確檢測,提供靜態程式碼和動態網頁安全全面性的檢測,同時也有較低的誤檢率。 捕夢網採用國際品牌Fortify原碼檢測,當透過精密檢測後找出弱點後,產出資安分析報告,讓未來在開發時可開發更安全程式碼,也可有效地管理所有軟體的安全。 了解源碼掃瞄網站架構健檢圖 讓你清楚弱掃工具要掃哪這邊也介紹這個架構圖可以讓你清楚知道,用什麼弱掃掃哪邊? 就像是健康檢查也分成很多部分,這邊也說明了什麼種類的弱掃工具掃哪個網站的層級。 國際組織公認漏洞標準 OWASP TOP10OWASP Top 10 是最受歡迎和使用最廣泛的Web應用程式安全意識指南。此成了當前十個最關鍵的Web安全風險指標。包含黑箱與白箱弱點,主要以黑箱為主,這十項都是弱點掃描的主要目標,目前OWASP Top 10最新的是2021年版。從下列十大風險列表可發現 OWASP TOP 10 2021並未從 2017 年中刪除任何項目,合併了一些舊項目且添加最近演變的新風險。 OWASP Top 10 自 2017 到 2021 的版本變化
MITRE ATT&CK 駭客視角全新資安威脅模型(Adversarial Tactics, Techniques, and Common Knowledge) 駭客無所不在啊! 該如何因應? 除了上述提及的OWASP以外,這邊也介紹另一種全新的資安威脅模型的指標。ATT&CK是由MITRE建立對抗戰術和技術的知識庫,用來因應駭客最有可能發動攻擊的方法,減少資安衝擊。攻擊手法可以分解成Tactics, Techniques and Procedures,簡稱為TTPs分別代表以下意思:
MITRE的ATT&CK 威脅模型中,共有12類指標方法如下:
弱點掃描比較表弱掃工具百百種,捕夢網幫你做整理,讓你更清楚弱掃的差異性? 做什麼樣的弱掃挑什麼適合的弱掃工具! 名詞說明:
|