從滲透測試的意義、執行時機,一直介紹到風險,相信你已經有初步的認識,接下來,我們請到三位安全專家來回答兩個滲透測試常被詢問的問題:「滲透測試該從何做起」、「客戶利益是否會被廠商的利益所犧牲」。Part I 滲透測試從何做起
執行一次標準的滲透測試需要花費數百萬元,基於預算的考量,有些企業會考慮分階段執行滲透測試。讓我們聽聽專家的看法。企業該如何執行滲透測試?如果是採分階段實行滲透測試,該先從哪個地方著手?望、聞、問、切,找出病因對症下藥
陳彥銘:當企業評估是否有滲透測試的需求時,必須考量「網路的重要性」,對企業很重要的網路就應該要進行滲透測試,用較為謹慎的方式找出各種可能的問題與影響;不那麼重要的網路就可以用弱點掃描來作短期且快速的評估。原因很簡單,根據CERT/CC的調查,高達95%的事件都是肇因於已知或已公布的弱點,也就是說,如果根據已知漏洞來作檢查及修補,就可以減少90%以上的事件,所以Foundstone會建議客戶先用弱點掃描,有需要的話,再進一步做滲透測試,就好像中醫使用「望、聞、問、切」四種方法問出大概的問題,然後再找出病因對症下藥。
由於每個企業的情況不同,很難提供全部適用的建議,因此這裡只能提供一些通則。從風險管理的角度來看,風險高低跟資產重要程度、弱點嚴重程度與威脅嚴重程度的連集有關,如果企業要執行滲透測試,應該要告訴執行者資產的重要度,以及問題的優先順序是什麼,可以考慮從面臨高威脅的高價值資產進行測試,或是專注在這個部分,然後用這樣的分類方式,將企業網路分等級。其他可以應用的觀念包括「威脅模型分析」與「攻擊表面分析」。簡單的說,企業可以先跟顧問討論自己的需求,由顧問提供策略與建議。從資產角度釐清問題
林佶駿:資訊安全的問題應該從整體性做考量,而且彼此環環相扣,因為有可能現在毫不起眼的地方,便是日後大災難的禍源。如果企業認為所有的業務都很重要,資金又不是問題的話,應該執行全面性的檢查,可惜的是,企業往往會侷限在本身預算,以及對資安廠商的信任度,無法達成這種理想狀況。
建議企業先找資訊安全顧問進行訪談,以資產的角度來釐清各重要業務所牽涉資產的三元素-「價值」、「弱點」與「遭受威脅的可能性」。由「風險=價值×弱點×遭受威脅的可能性」的原則來看,當企業認為「價值」處於相同的重要性時,便可以從「遭受威脅的可能性」這個因子來著手考量執行服務的起點,從暴露於外且較容易遭受攻擊的部分開始執行滲透測試服務,以在安全與預算之間取得良好的平衡點。以銀行業為例,由於網路服務遭受駭客攻擊的威脅最大,因此應該從這一部分的業務開始著手執行滲透測試,讓銀行遭受攻擊的可能性降低。
張裕敏:建議企業先從直接與客戶或網際網路接觸的部分著手。如果各種業務都很重要,可以先完成弱點稽核,然後針對這個報告中最弱的主機作強化。
我們總結三位專家的看法,每家公司都有其核心競爭力,和最重視的資產,從這些點著手準沒錯。花錢事小,只怕執行滲透測試之後,仍找不出問題,所以在執行滲透測試前,最好先與安全顧問進行訪談,釐清企業的各項需求,才能夠對症下藥。Part 2客戶利益 vs. 公司利益
許多資訊安全廠商除了提供滲透測試服務,還會銷售資訊安全產品,在球員(資安產品)兼裁判(資安服務)的狀況下,難免會讓人質疑其公正性,例如當駭客利用產品的某個漏洞入侵時,照實際狀況說對客戶有利,但卻對公司有害,所以有專家認為,為避免球員兼裁判的現象發生,應該選擇中立的第三者(純資安服務廠商,無銷售資安產品)執行滲透測試,才能達到全方位且嚴謹的網路安全評估。
為避免發生客戶利益與公司利益相衝突,純滲透測試服務廠商是最佳的選擇嗎?
服務就是解決客戶的問題
林佶駿:從執行滲透測試服務的真正目的與效益來看,滲透測試服務的最終目的絕非僅止於找出問題而已,最重要的是在找出問題之後,能為企業提供更完整的解決方案,以及維護資訊安全水準的能力,所以才會要求顧問必須具備「品德」、「專業技術」、「規畫能力」、「實務經驗」與「後續支援」等能力。不能僅是找出問題,卻提不出解決方案。
從效益面來看,滲透測試服務能夠測出資訊安全產品是否達到應有的水準,並找出它的極限所在,因此,在執行測試時,敦陽必定會竭盡所能找出這些設備的問題,以便測試完畢後,能將產品的水準調到最高,這樣企業對敦陽所銷售的產品滿意度才會更高。此外,敦陽還能為企業提出其他的解決方案,以達到更全面性的安全水準。
敦陽將「Penetration Test」稱為「滲透測試服務」,並不會將「服務」省略掉,因為服務的真正定義是解決客戶的問題,並滿足他們的需求,單純執行滲透測試服務的廠商,必定無法滿足這些條件。
弱點掃描與滲透測試相輔相成
陳彥銘:「工欲善其事,必先利其器」,沒有一個公司會宣稱自己的產品是完美,Foundstone也不例外,但弱點管理產品並不會產生公司利益與客戶利益相衝突的情況,因為弱點掃描是滲透測試必經的步驟,Foundstone只是將這個步驟產品化,並附加其他功能,讓企業可以更有效管理本身的弱點。
有很多Foundstone的客戶是在採用顧問服務之後,才購買產品的(反之亦然),因為他們看到顧問所展現的知識,相信Foundstone可以把產品做好,我們也很樂意跟客戶解釋產品的優點跟不足之處。
產品不能只是停留在原點,必須一直成長,而讓Foundstone產品成長的主因,就是來自於專業顧問服務在實際案例所累積的經驗,例如Foundstone受雇去評估微軟MSA(Microsoft System Architecture 2.0)、ISA、.NET Framework和IPSec,以及超過300個網頁應用程式和上百個滲透測試/弱點掃描專案,所以Foundstone的產品就是一個很好的知識管理範例,而且有能力從知識演譯出方法,並且化為產品的公司並不多。
沒有產品經驗當後盾,會衍生更多問題
張裕敏:就鈺松本身的實際客戶案例而言,確實發生過執行滲透測試時,IDS沒有即時反應,就算可以暫時隱瞞客戶,但駭客可不會就此罷手,一定會有更多更進一步的威脅,所以鈺松的處理態度是不推卸責任,承認錯誤,並加以更多資安配套措施(如SOC 協防、額外的資安建議與服務)。
國外蠻流行找純滲透測試服務廠商的論點,不過臺灣的資安部門並沒有國外完善,只找單做滲透測試服務的廠商,很難與已經部署的資安產品作良好配合,而且在臺灣沒有產品經驗當後盾,會衍生出更多安全性問題。聽完專家的看法,我們仍是老話一句,貨比三家不吃虧,如果預算許可,可以找2家以上的廠商,交叉比對之間的差異,許多科學園區的廠商就常一次找3家的國內外廠商。文⊙陳世煌
