網路滲透測試服務

来源:漢昕科技

目的:近來防禦駭客與病毒的攻擊已經成為一種非常難以完成的工作。保護自己的網路不受不斷出現的惡意攻擊的損壞,維護網路安全已經成了企業裡非常重要的工作。以最重視安全的金融業為例,銀行建置雙層防火牆,買了入侵偵測系統,也定期執行弱點掃描,應該很安全,但駭客侵入、帳戶資料遭竊、網站遭受攻擊等安全事件仍時有所聞,也許被駭客入侵的機率只有0.001%,但發生後就是1。今年二月,大陸破獲網路銀行盜領案件,哈爾濱市3名大學生,利用網路銀行盜領人民幣53萬元;去年九月,刑事局偵九隊破獲胡可之網路盜領集團,他們花了5個月時間破解網路銀行及語音系統,成功盜領數百萬元。

何謂滲透測試:滲透測試是以駭客的角度,由企業外部對目標網路環境作深入的安全探測,並預先找出企業脆弱的環節。滲透測試是由一組安全人員執行,利用弱點掃描軟體或其他的工具,從外部或內部網路收集系統的相關資訊,並探查出邏輯性更強、更深層次的漏洞,然後滲透到企業內部取得資產,最後提交一份滲透測試報告,完整的記錄整個測試過程與細節,證實企業哪些系統有風險、哪些產品設定沒做好,並協助企業進行制定更完善的安全防禦措施。換句話說,滲透測試是安全稽核的一部分,由安全專家模擬駭客的攻擊模式,測試資訊系統的安全強度,讓企業在駭客攻擊前,就做好預防工作。

弱點掃描與滲透測試之差別:首先,滲透測試必須由專業顧問費時數周才能完成,需要大量的人力成本,而弱點掃描是利用工具自動化快速掃描大量主機,所以,一次標準的滲透測試至少上百萬元,國外廠商的費用更是國內廠商的數倍;其次,因為弱點和漏洞不斷的出現,駭客攻擊手法也不斷翻新,弱點掃描大約3個月到半年執行一次,滲透測試最好每年執行一次,幾年前做過滲透測試,並不代表現在可以高枕無憂;比較慘的是,不少廠商因為成本考量與技術不足,假滲透測試之名,行弱點掃描之實,讓許多企業以為做過滲透測試,其實只是找到一些弱點而已。其差異比較點請參閱圖表。
 

1.jpg 大小: 112.25 K 尺寸: 376 x 500 浏览: 20 次 点击打开新窗口浏览全图

滲透測試最佳時機為何:何時該執行滲透測試呢?由於沒有百分之百絕對的安全,當建置那麼多資訊安全產品後,許多IT主管仍會問,究竟效果有多大,駭客攻進來的機率有多大,能夠達到的安全程度有多高?我們都知道產品能夠防阻哪些攻擊,卻忽略它無法防禦的攻擊,而滲透測試能協助企業找出錯誤的設定,證明安全裝置沒有大問題,提高安全的百分比。建議先打好資訊安全的基礎(Baseline),然後才執行滲透測試,因為滲透測試能夠提高企業的安全強度。舉例來說,一些企業可能有標準的上線程序,防火牆和網路設置都設定的很精準,但是預設的帳號沒有移掉,或者只是將管理帳號更換成簡單的密碼,這樣都很容易就會被駭客猜出。

執行程序:滲透測試執行程序,可分為6大安全模組。分別為:

1、資訊安全測試:作為保密的管制以防止使用者有無意的讀取或更改。其分類成網路資料的搜集測試,和企業之間的競爭情報蒐集,而近來資訊隱私權控制也是資訊安全的測試內容。

2、流程安全測試:其透過確定一個安全需求的優先順序,例如驗證過程或身分管理。

3、網路技術安全測試:其範圍非常廣泛,例如:存取控制測試、路由、密碼分析、系統服務的辨識和阻斷服務攻擊測試,並且 還包含基本網路的調查,審查企業內的安全政策。

4、.通訊安全測試:確保通訊技術的保密性與完整性為目標,甚至對身分驗證也必須進行測試。

5、無線網路安全測試:以防止有心人士得以在無線網路電波涵蓋範圍內進行通訊內容的監聽及進行其他攻擊。

6、實體安全測試:考量企業對外的安全防護,例如資訊中心或電腦機房。

依單位需求則選定其中1、3、4模組進行測試分析。

其具體流程為以下圖形

2.jpg 大小: 179.84 K 尺寸: 322 x 500 浏览: 12 次 点击打开新窗口浏览全图

執行時間:標準的滲透測試專案大約需要從合約中約定日期起1個月,包括收集需求、進行測試與報告撰寫,如指定範圍過大則可能需要2~3個月的時間。

測試報告內容:一般報告的內容會包含整體結果、滲透過程、取得哪些資產、相關問題、如何修正及安全建議等。

風險:滲透測試可分成破壞性及非破壞性攻擊,破壞性攻擊(例如DoS攻擊)可能會造成系統當機或毀損,所以當滲透測試執行到一定程度之後,會在實驗室進行模擬,確定沒有問題之後,才會進行測試,如果可能造成主機毀壞,那就會改採報告的型式,說明可能的危害。滲透測試是在專屬的房間,專屬的IP及專屬的電腦上執行,鍵盤所敲的任何指令都會記錄下來,唯一可以帶走的只有腦袋裡面的知識。由於在執行測試時,測試端會送出大量的封包,所以有可能造成網路壅塞變慢。當他們在執行滲透測試時,也許駭客正在做同樣的事,如果造成系統當機或毀損,那麼是駭客造成還是滲透測試造成,就有待釐清。假設只是執行簡單的Port Scan就造成主機當機,如果該主機是重要伺服器,那結果將無法想像,為了降低風險並保護客戶,需要求客戶做好資料備分。另外,測試人員也應避開營業時間,並要求人員待命,以便隨時支援。再次提醒是,在滲透測試前一定要備分資料避免資料損毀。

結語:最後,我們仍要強調,滲透測試結果是對系統無害的,不會導致服務停止或系統毀損,不然就失去原本的目標與效益。而安全沒有終點所以做好相關服務的稽核與審查是必要的。

 

Posted on: 2008, October 2, 12:05 PM | Filed under: 入侵检测 |
Tags:web

您可能会对以下文章感兴趣哦

Leave a comment

Your comment

Why not Login? Sign up now! »