掌握系統風險即時修補漏洞
修補風險漏洞降低資安威脅
改善資安架構提升資安防護
小徵兆大風險
網站正在求救常在網站或電視上看到,什麼輕微偏頭痛、小小硬塊,演變成致命的腫瘤或癌症。都怪當初沒有盡早做健康檢查。弱點掃描,就是要找出這些不起眼的小徵兆,以免後續變成更致命的風險漏洞。
健康檢查會給你一份檢查報告,有危險的不在標準範圍內的會以紅字表示。透過報告,可以了解要優先改善身體哪一方面?例如血壓、血糖或血脂等。弱點掃描也一樣會有檢查報告,也會將風險漏洞依照危險程度以紅色、橘色、黃色分級。企業可以依照危險程度或是影響範圍規劃資安修補計畫。
漏洞從哪裡來的? 找出原因,才能對症下藥
病人常常對醫生說,我不知道為何會生病?弱點掃描除了幫你找出風險漏洞之外,也找出發生原因,讓資安人員可以對症下藥。有時候漏洞發生不只是單一原因造成,這邊說明幾個可能發生的原因讓大家更了解。
不當的設計
作業系統、應用程式、元件、技術做不當的設計
不當的實作
網路規劃、系統規劃、存取控制
不當的組態設定
預設密碼、沒有依循規範政策
過時的組態設定
沒有修補或更新
遭駭客利用的方式
Bypass、加密通訊、白名單、社交工程
弱點掃描該怎麼做?
健康檢查項目和類別成千上百,費用幾百到幾十萬都有,做之前搞清楚要做什麼檢查項目。弱點掃描跟健康檢查一樣,不同的掃描方式、適用的範圍都不一樣。進行弱點掃描之前,問清楚適用的範圍和方式,不然到時候掃不到潛在風險,還誤以為系統健康,反而造成更大的潛在危險。
網站弱掃 ( 侵入式檢查 )
侵入式檢查模擬駭客入侵
做過胃鏡大腸鏡檢查可以體會,把鏡頭深入體內探找問題,過程有多難受。網站弱點掃描,就是一種入侵式檢測方法。透過模擬駭客入侵攻擊行為,採取各種不同攻擊模式,在網站內部不同的目地不停地找尋漏洞,希望找出蛛絲馬跡,讓報告出現紅字。
採用品牌
皆為國際性品牌,提供掃描報告給客戶,皆合乎 OWASP top 10掃描需求,是目前國內資安合規性的重要參考指標。
系統掃描 ( 抽血檢查 )
比照標準值判斷是否有問題
抽血檢查就是透過血液中的數值指標,例如血糖血脂、肝功能、膽固醇等,看看有沒有在標準值範圍內。系統不管用 Windows 或 Linux 或是 IOS,加上企業內部自行開發的程式,或多或少一定有漏洞。試問你有看過上述大廠沒出過系統補丁或程式更新的嗎?系統弱掃內建許多合乎安全標準,或多種常見的弱點與漏洞的範本,合規安全標準作為標準值。針對系統或網路進行自動化掃描,透過交叉分析找出漏洞和弱點。
採用品牌
Nessus 為業界採用率第一的國際性品牌 Nessus 系統弱掃,擁有業界最深入廣泛的漏洞涵蓋範圍,也合乎現今國內常見的法規稽核需求。
源碼檢測 ( 核磁共振檢測 )
精細檢測透視系統內部
核磁共振檢測是醫院內最高規精細的檢查,將身體內部仔細掃描一遍,通常耗時久,報告內容也是最仔細完整的。在資安檢查來說,就是源碼檢測。源碼檢測顧名思義,將系統或程式的原始碼一行一行拿出來檢查,檢視原始程式碼,看看程式中是否潛在的安全性弱點,分析弱點種類、攻擊路徑等資訊的精確檢測,提供靜態程式碼和動態網頁檢測,安全性較為全面,誤檢率同時也較低。
採用品牌
Fortify 源碼檢測為國內資安大廠常用國際性資安軟體,可以滿足不同類型的應用程式開發需求,幫助開發人員及時發現潛在的原始碼資安漏洞。
網站架構健檢圖
解釋網路架構層怎麼掃網路架構層圖簡單說明各層應該用哪一個弱點掃描工具?避免用了不適合的弱點掃描工具。
弱點掃描 & 滲透測試比較
許多資安法規規定要弱點掃描又要滲透測試,很少有人清楚解釋兩者差異。元盾資安以簡單的說明和表格帶你認識兩者差異。
弱點掃描係指以自動化檢測工具 ( 軟體 ),掃描目的可分為針對主機及網頁,依據內建的漏洞腳本,針對已知存在的風險性掃描。會自動化產出報告,告知是否存在已知的風險漏洞、位置以及風險程度等級。
滲透測試系係指具有駭客思維的專業滲透工程師,以最真實的攻擊手法,以OSSTMM 作為主要檢測依據,入侵指定的網站、系統、設備。找出潛在未知的邏輯性缺失,驗證資料與設備是否可被竊取或破壞。
| 系統弱掃 | 滲透測試 | |
|---|---|---|
| 檢測方式 | 自動化工具 | 專業滲透工程師 |
| 檢測依據 | 工具內建漏洞腳本 | 以OSSTMM 作為主要檢測依據 |
| 所需時間 | 據系統及掃描程度,到報告產出需要約1星期時間。 | 情蒐、測試到報告撰寫至少需要 1 個月或更久的時間。 |
| 執行頻率 | 每月一次 | 1 至 2 年一次 |
| 成本 | 低 | 高 |
遵循國際資安標準
弱點掃描,當然要有一個風險參考標準,我們才能判斷是不是有危險。也不是我們資安公司說危險就是危險。
OWASP開放網路安全計畫( Open Web Application Security Project )
OSSTMM 開源安全測試方法論( Open Source Security Testing Methodology Manual )
CVE見漏洞和披露 ( Common Vulnerabilities and Exposures )
CWE常見弱點列舉 ( Common Weakness Enumeration )
CVSS 通用漏洞評分系統 ( Common Vulnerability Scoring System )
弱點掃描列表
先前提過,弱點項目和類別成千上百,費用幾百到幾十萬都有,做之前搞清楚要做什麼項目。元盾詳列目前業界常聽到的幾點弱點掃描的作法及詳細內容,讓大家在進行弱點掃描前至少有個基本認識。
| 系統弱掃 | 網站弱掃 | 原碼掃描 | 滲透測試 | APT | 紅隊演練 | |
|---|---|---|---|---|---|---|
| 弱掃類別 | OS(Windows/Linux) Vulnerability Assessment | (Web/App) Vulnerability Assessment | Code review | Penetration Test | Advanced Persistent Threat | Red Team Assessment |
| 元盾提供弱掃服務 |  |
|
|
|
 |
|
| 掃描種類 | 黑箱掃描 | 黑箱掃描 | 白箱掃描 | 黑箱掃描 | 黑箱掃描 | 黑箱掃描 |
| 弱掃類型 | 系統弱掃 | 網站弱掃 | 程式弱掃 | 滲透測試 | 進階滲透測試 | 企業資訊設備 |
| 執行方式 | 以自動化檢測工具(Nessus)針對系統進行偵測,評估系統漏洞及威脅,產出檢測報告,提供問題風險排序。建議配合人工以驗證合規性 | 以自動化檢測工具(Acunetix)針對網站以及網站程式掃描漏洞,自動產出檢測報告。建議配合人工以驗證合規性 | 以自動化檢測與分析工具(Foritfy)進行程式源始碼檢測,指出安全漏洞及所對應的程式碼行數,提供程式修正與建議。建議配合人工進行程式碼修正 | 模擬駭客的思維,針對目標(系統或環境或設備)發動網路攻擊。攻擊力度較APT比較弱化。 | 模擬駭客的思維以針對、持續、隱密的方式,針對目標(系統或環境或設備)發動一個複雜多面向的網路攻擊,維持數天至數月不等。攻擊力度較滲透測試更加強化。 | 結合自動化工具及專業人力,針對目標(系統或環境或設備)檢測出自動化檢測工具無法檢測出來的漏洞,為真實性最高最具參考價值的合規性報告 |
| 進行掃描意義 | 係針對系統進行風險性檢測,測試深度廣度兼顧。協助企業符合下述各項合規性 | 係針對網站以及網站程式進行風險性檢測,測試深度廣度兼顧。協助企業符合下述各項合規性 | 係針對程式碼(系統或程式皆可)進行根源性檢測,著重測試深度。協助企業符合下述各項合規性 | 採用MITR ATT&CK®作為主要檢測依據,驗證企業的評估資訊系統與硬體安全性是否有待加強。 | 採用MITRE ATT&CK®作為主要檢測依據,驗證企業的評估資訊系統與硬體安全性是否有待加強。 | 採用MITRE ATT&CK®作為主要檢測依據,驗證企業的評估資訊系統與硬體安全性是否有待加強。有時可搭配防守方一同進行 |
| 國際組織公認漏洞標準 (合規性) | 符合OWASP | 符合OWASP | 符合OWASP | 符合OWASP | 符合OWASP | 符合OWASP |
| N/A | N/A | N/A | 符合MITRE ATT&CK® | 符合MITRE ATT&CK® | 符合MITRE ATT&CK® | |
| 符合CVE | 符合CVE | 符合CVE | 符合CVE | 符合CVE | 符合CVE | |
| 符合NIST | 符合NIST | 符合NIST | 符合NIST | 符合NIST | 符合NIST | |
| 符合PCI DSS | 符合PCI DSS | 符合PCI DSS | 符合PCI DSS | 符合PCI DSS | 符合PCI DSS | |
| 符合HIPAA | 符合HIPAA | 符合HIPAA | 符合HIPAA | 符合HIPAA | 符合HIPAA | |
| 掃描範圍 | 作業系統(Guest OS) | 網站以及網站程式 | 程式源始碼 | 系統或環境或網路設備 | 系統或環境或網路設備 | 系統或環境或網路設備 |
| 弱掃頻率(多久執行一次) | 每月一次 | 每季一次 | 依程式更新範圍與頻率 | 1至2年一次 | 1至2年一次 | 1至2年一次 |
| 執行所需時間 | 根據系統規模大小、掃描情境及範本和檢測詳細程度預估執行時間 | 根據網站及網站程式大小、掃描的風險性多寡和掃描詳細程度預估執行時間 | 根據程式碼行數多寡及檢測詳細程度預估執行時間 | 根據跟企業討論的執行標的、規模和預算排定時間執行 | 根據跟企業討論的執行標的、規模和預算排定時間執行 | 根據跟企業討論的執行標的、規模和預算排定時間執行 |
| 成本 | $ | $$ | $$$ | $$$$ | $$$$$$ | $$$$$$$$$$$$$$ |
| 改善開發人員的危險習慣 | |
|
|
|
|
|
| 改善維運人員的不當配置 | |
|
|
|
|
|
| 盤點企業整體安全性 | |
|
|
|
|
|
| 精確與實用的檢測報告 | |
|
|
|
|
|
完成弱點掃描後
做完健康檢查後,醫生會針對你的檢查報告,告訴你哪邊該注意,該如何改善。同樣的,做完弱點掃描,拿到資安檢測報告後,你需要資安顧問,告訴你面對密密麻麻的檢測報告,哪邊該注意該如何改善。
- 深度訪談充分溝通
- 了解檢測標的
- 雙方了解檢測過程及細節
- 檢測過程注意事項
- 客製化深度檢測
- SOP 檢測流程
- 嚴格國際資安規範
- 檢測同時進行雙重驗證
- 專業資深資安專家撰寫之具體建議報告
- 詳細漏洞列表清單、具體漏洞解決步驟、整體建議
- 豐富實證圖說明入侵方式
- 個別漏洞具體修補建議
- 程式碼修補教學手冊
- 修補多元替代方案
- 修補諮詢建議
- 教育訓練
- 針對正式檢測時所發現之漏洞進行修補確認
- 針對無確實修補之漏洞繼續提供諮詢及技術支援
