【什麼是滲透測試】
所謂的滲透測試服務(Penetration Test, PT)是由一組資安專家在企業允許的範圍之下,透過人工方式以駭客思維入侵到企業內部網站、資訊系統、設備等資產,並從中找出企業內潛藏的資安風險漏洞。接著會將完整的滲透測試過程與細節詳細的紀錄下來,並產出一份滲透測試報告,提供給客戶針對這些漏洞的改善方法,協助使企業客戶的資安防護更加完善。
【為什麼需要滲透測試服務?】
伴隨著科技進步,許多企業所面臨的資安威脅也逐年增加。但多數發生的資安事件,都是企業本身沒有警覺資安威脅早已滲透到內部,伺機而動。而滲透測試服務透過資安專家模擬駭客攻擊,測試企業對於資安防護的強度,讓企業能在駭客攻擊之前,做好預防工作。
【滲透測試能達到什麼效果】
針對企業而言,為了能在執行滲透測試服務的過程中更準確地找出內部的資安風險漏洞,必須仰賴資安專家本身的經驗以及知識,透過站在與駭客同樣的出發點之下進行測試。通常會依循OWASP TOP 10及SANS TOP 20等相關規範進行輔助,並利用多種深入檢測工具及細微的手法。包含SQL Injection及多項弱點檢測,發現企業客戶內部系統的脆弱點並提供詳細的解決方案避免企業形象及成本上的損失,提高企業內資安防禦的安全性。
Ref.
滲透測試
https://www.ithome.com.tw/node/28892
知己知彼 百戰百勝-弱點掃描及滲透測試的重要
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7754
我們為什麼需要滲透測試?
https://kknews.cc/zh-tw/tech/pxa4bb2.html
【什麼是弱點掃描】
弱點掃描(Vulnerability Assessment, VA)是利用自動化工具針對系統進行掃描,透過弱點資料庫找出存在的漏洞。根據已被檢測出的弱點特徵來檢查系統是否存在可能被駭客攻擊的脆弱點。測試的結果與工具的效能有關,不同品牌、廠商有不同的檢測規則,檢測的結果可能也不同。弱點掃描常見的使用工具有Nessus、Nmap、Retina等自動化軟體。
【為什麼需要弱點掃描】
無論是何種企業,都需要維護單位內部的資料及系統的安全性。若系統存在著弱點,使得駭客能夠趁虛而入,可能造成企業不可挽回的損失。而弱點掃描之目的為找出可能被攻擊的脆弱點或是存在於系統內的惡意程式,提前將威脅清除,以預防駭客入侵,藉此確保企業內部的資料與系統之安全性擁有一定保障。
【弱點掃描能夠達到什麼效果】
弱點掃描檢測的目標包含個人電腦、應用系統、伺服器、網路設備,透過弱點掃描工具,對於系統進行多項檢測。例如:網路拓樸的掃描、連接埠掃描、SQL Injection、隱碼與跨站攻擊、作業系統未修補之漏洞等常見弱點。並在進行一連串的檢測後,根據掃描結果分析脆弱點並給予建議措施,產出相對應的檢測報告。確保單位系統之安全性能維持於最佳狀態,保障單位的資訊安全。
Ref.
弱點掃描技術報告
http://www.cc.ntu.edu.tw/chinese/epaper/0035/20151220_3506.html
系統弱點檢測服務
http://www.bccs.com.tw/index.asp?module=product&action=ShowContext&BID=7&ID=3&SubMenu=3
知己知彼 百戰百勝-弱點掃描及滲透測試的重要
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7754