何謂人工滲透測試

委託專業資安專家進入受測單位,以駭客入侵的角度由外部對企業網路環境作深入探測服務找出各種潛在的漏洞,測試後找出檢測單位內部系統風險係數及內部開發程式存在的漏洞,同時評估建議是否有其安全性需趕善加強作業,讓企業能盡速降低被入侵風險,待企業修補完畢後,資安專家會再次確認是否有其他手法繞過,以確保受測企業不會因為一樣的問題蒙受損失,而滲透測試也是完成資安稽核的最一哩路。

所以,滲透攻擊要成功,必須搭配相應的弱點。只有確實的修補漏洞,才是防範攻擊的最終方法。面對駭客的威脅除了正確資安防護設備的建立外,最重要的是徹底修補可能導致入侵的漏洞。

 

滲透測試目的

滲透測試在大多數情況,應該是屬於秘密的測試,多由委外資安專家顧問人員或者內部相關技術人員扮演惡意攻擊者,攻擊系統等層面的安全性。
最終目的:經由滲透來驗證安全性,因此這種測試除了參與人員外通常不會發出事前的告知。

然而滲透測試並沒有作業標準的定義,國外部分安全組織達成共識說法是:滲透測試是通過模擬惡意黑客的攻擊手法,進行評估計算機網絡系統安全的一種評估方法。滲透過程涵蓋了系統的任何弱點、技術缺陷或漏洞的主動分析,分析是從一個攻擊者可能存在的位置來進行的,並且從這個位置有條件主動利用安全漏洞。

滲透測試,所能夠證明的是現有運作的系統是可以被攻擊。並非是針對每一個漏洞進行記錄,頂多紀錄那些在測試中被利用的漏洞。所以滲透測試可以推斷出整體進行的安全防護問題。

執行及管控良好的滲透測試可以證明各種內部原因所產生的不安全設定與系統配置,沒有資訊安全專責單位的企業需要有說服力的第三方觀點來說明不充分的安全配置可能導致的重大損失。而滲透測試就是要將可能的損失以強而有力並生動的證明出來,要顯現出企業的電腦被攻擊的事實。

滲透測試仍然是發現網絡安全薄弱環節的重要方法,這需要花費大量的時間和努力,如果沒有指定出如何使用測試結果的策略,那麼進行測試是沒有意義的。只有通過確認測試範圍、驗證結果、運用指標對它們的嚴重性進行分類、清楚簡明地報告發現結果,才能真正反映出公司當前的網絡安全風險狀況。

 

相關連結 

  • 如貴公司有人工滲透測試服務,請聯繫 Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它