如果用一句話來定義滲透測試,可以說:就是模擬駭客(惡意使用者)的思維,想辦法入侵主機和網站,進而分析受測目標的風險層級。
講更詳細一點,滲透測試這項任務,是由希望被測試的目標請託具備網路及資安知識的團隊,根據目標(客戶)環境,不論是網路服務、軟體、硬體、韌體等,利用駭客的想法去規劃執行的內容與先後次序,通常會用對企業營運的影響程度,判定其優先等級,最終目的是在預防真正受到攻擊之前,及早發現系統漏洞,並加以改善修正。
滲透測試前一個步驟為弱點掃描,所以滲透測試是針對掃描出的漏洞,驗證能否利用這些已知弱點成功入侵。
應遵守的規範:
滲透測試訴求為廣泛的檢視目標環境之安全性,及驗證入侵的可行性,不以破壞為目的,故採取的方法與工具不能導致服務停止或系統毀損;在執行前,應先與雇主擬定合約,內容需包含完整的測試範圍、可能存在之風險、是否要執行破壞式攻擊、注意事項、責任歸屬等。
執行流程:
目前滲透測試仍沒有一套標準化流程(法律)可遵循,國內數間較知名的廠商大多是遵循國際規範OWASP和OSSTMM中的測試安全指南;制定的專案流程根據不同廠商會有差異,但大致可切分為7個步驟:確認測試範圍(需求確認)、資料收集、資料分析、攻擊漏洞、產出報告、顧問服務(改善建議),系統補強。
所需時間:
根據需求規模而定,通常從情蒐、測試到報告撰寫至少需要1個月的時間,有些更大型的專案可能需要2~3個月。
小結:
在現今惡意軟體發展比資安技術快速的時代,沒有絕對安全的設備或系統,而滲透測試正是檢驗防盜門是否夠堅固最直接的做法。
