弱點掃描與滲透測試皆是能找出企業系統弱點的資安檢測方法,兩者的進行方式與成效皆不同,企業應定期進行弱掃與滲透測試才能逐步提升資安韌性。近期生成式AI引爆各產業熱門話題,在網路犯罪領域也不例外。透過ChatGPT這類的生成式AI,駭客不用會寫程式也可以產出攻擊程式碼、找到軟體弱點發動攻擊,這讓原本就已經是充滿挑戰的企業資安工作更是雪上加霜。企業必須回歸到資安基本功,落實定期資安檢測,才能在駭客找到攻擊缺口之前先把洞補起來。
弱點掃描——自動化快速掌握所有弱點
談到資安檢測,一般想到的是弱點掃描(Vulnerability scanning)與滲透測試(Penetration test),這兩者都能用來找出企業系統或應用程式中的漏洞,但兩者進行的方式、費用與達到的成效皆不相同,兩者也不能相互取代。唯一相同的是,兩者都須持續定期進行,才能不斷強化企業資安韌性。
首先弱點掃描主要是用來找出企業作業系統、應用程式或設備韌體上的漏洞,包括是否有尚未安裝的更新程式,或系統設定上有錯誤配置等,但主要是以已公開的、已知弱點為主。有許多自動化弱點掃描工具或雲端服務可以協助企業按排程自動掃描,且在幾個小時內就迅速大範圍地掃描完整個網路,掃瞄完畢能產出報表。如果是使用商用的弱點掃描軟體/服務還能依照弱點衝擊程度排列優先順序,並提出修補建議,例如Tenable。讓企業能優先處理衝擊影響最大的弱點,有效控制風險。
然而在實務上,企業可能弱點掃描完成後,看到報表上光是衝擊程度嚴重等級的弱點也有一長串,這時又該從何下手?可以從弱點被利用的可能性,以及該IT資產的價值來加以評估。每個弱點被利用的難易程度不同,駭客通常都是鎖定最容易下手的弱點來發動攻擊,因此應優先處理這類弱點。而同時也須考量IT資產的價值,因為若是被攻擊成功,一個開發系統中所儲存的資料與一個ERP系統中的資料價值必然大不相同,因此IT資產以及資料價值高的系統弱點也應優先處理。
由於現今各種IT應用服務頻繁的迭代推出,因此透過自動化的弱點掃描工具每月進行一次弱掃,較能掌握弱點問題,也能快速排除與修補。若是每年才掃瞄一次,恐怕一次掃出太多弱點,光是要處理就是一大工程,更何況未修補的嚴重漏洞都可說是埋伏在企業內網的未爆彈。以2021年底的Apache Log4j漏洞為例,由於此一開源日誌記錄套件被大量運用在各種設備與系統中,許多企業甚至未能察覺內網設備中有應用此一工具,未及時修補該漏洞而讓企業暴露在極大風險之中。根據Tenable 2022威脅態勢報告,Log4shell在2022前五大弱點中高居第2位,顯見其影響之深。
滲透測試透過高手找出可能攻擊路徑
而企業也是在風險評估後決定滲透測試的目標與範圍,即有被攻擊利用的高風險系統漏洞與關鍵資產,例如對外的第一道防線——防火牆等外部網路設備,以及具有與使用者互動功能的Web應用系統,內部的電子郵件伺服器、檔案伺服器等存有企業重要資料的系統,同時也不能忽略企業所開發的App等。企業在對每個系統進行風險評估後,就能排定檢測優先順序。
檢測完畢能出具弱點報告,說明成功入侵系統的路徑與結果,並提供修復建議。通常建議企業至少一年進行一次滲透測試,若是高度機敏的網路或系統則是建議每季或每月測試,以有效揭示潛在的安全風險。因此由上可知,弱點掃描與滲透測試是兩種不同的資安檢測方式,無法相互取代。企業應衡量目的與資源,定期的規劃弱點掃描與滲透測試,才能不斷PDCA,提升防護水準。
重點概述:
透過自動化快速掌握所有弱點:系統弱點掃描、網站弱點掃描
弱點掃描後,需以駭客思維再次驗證安全性:滲透測試