滲透測試

模擬真實攻擊者的進攻路徑,檢驗您的資安強度!

您是否曾經想過,如果駭客要入侵您的企業,他們會如何發動攻擊?

在瞬息萬變的網路時代,各大企業需要更重視資安的重要性,當防火牆或防毒軟體等傳統防護措施,無法抵禦新型態的攻擊威脅時,應化被動為主動發現潛在威脅。
除了一般常見的弱點掃描可以找出漏洞風險外,滲透測試透過模擬真實攻擊活動,使用與駭客相同的工具及技術,在嘗試繞過企業資安防護措施的過程中,將會發現潛在的漏洞以利後續補強,進一步守衛企業資安。

找出駭客可能會走的路徑!帶您了解滲透測試流程

滲透測試將由專業的滲透測試人員(又稱白帽駭客)模擬攻擊活動,嘗試攻破企業佈建的資安防護機制,基本上不影響日常營運,故建議定期一年至少進行一次,才能在系統或應用程式中主動發現潛在的資安漏洞。

計劃 Plan

● 確定標的:明確定義測試目標。
● 測試範圍:列出測試範圍、深度及廣度。
● 了解標的:蒐集目標架構等相關資訊。
● 依循OWASP測試清單的範疇。

執行 Do​

● 模擬攻擊:
利用白/黑/灰箱測試網站機制、應用程式權限、密碼強度等。
● 記錄結果:
羅列漏洞清單,以及實際入侵操作與流程。

查核 Check

● 驗證漏洞:評估漏洞的可利用性。
● 分析結果:識別風險等級,評估營運衝擊。
● 修復建議:對已發現的漏洞制定修復方案,包括修復方法及工具、修復時程等。

行動 Act

● 修復漏洞: 根據修復方案修復漏洞。
● 完善資安: 針對發現的漏洞強化資安防護措施。
● 合格驗證: 按測試結果持續精進並通過測試。

8 個問題弄懂滲透測試與弱點掃描的差異

用一句話描述?

滲透測試

駭客思維想像如何攻擊

弱點掃描

檢視自身弱點找出漏洞

執行方式簡單嗎?

滲透測試

比較難
針對可能造成危害的路徑

弱點掃描

相對容易
廣泛地掃描系統或場域

檢查內容有什麼不同?

滲透測試

體能測驗
測試抵禦攻擊的能力

弱點掃描

健康檢查
弱點資料庫為基準

會發現不同漏洞?

滲透測試

主要檢驗資安強度

弱點掃描

可以發現既有威脅

漏洞類型有什麼不一樣?

滲透測試

可能是多個漏洞串連起來的攻擊鏈

弱點掃描

掃描結果大多為單一弱點

誰適合做?

滲透測試

需要全面評估資安風險的企業

弱點掃描

需要快速掃描、及時漏洞管理的企業

如何進行檢測?

滲透測試

從外網針對內網

弱點掃描

在內網即可掃描

誰先做?誰後做?

滲透測試

通常在弱點掃描之後

弱點掃描

一般來說優先進行

為什麼要做滲透測試?探查資安冰山之下的未知威脅

從另一角度找尋漏洞並強化資安防護,是滲透測試的主要工作之一,透過滲透測試可以避免系統或應用程式的漏洞被駭客利用,以及找出不妥適的相關權限設定,以免駭客入侵後橫向移動直攻企業核心,在抵禦零時差攻擊上也具有成效。


保存高度機敏資料

您必須 


保存高度機敏資料

避免機密毀損外洩


擁有集中控管權限

您必須 


擁有集中控管權限

避免駭客橫向移動


目標為營運不中斷

您必須 


目標為營運不中斷

避免零時差攻擊

滲透測試很難做?交給鼎新!助您完成進階防護

執行滲透測試必須要有一定程度的測試經驗,才能有效利用測試邏輯找出駭客可能途經的入侵路徑。
鼎新擁有豐富的實務經驗,除了檢測工作、交付測試報告外,還可以提供改善建議及後續管控措施,以利通過驗證,證明資安的健康度。

建議

● 提供程式安全性改善建議。
● 導入資安防護措施與控制機制。

管理

● 發現資安威脅進而漏洞管理。
● 定期追蹤並評估因應方案。

驗證

● 驗證漏洞是否已修補完成。
● 無法修補之漏洞則提供建議替代方案。