讓我們來告訴你 什麼是弱點掃描?

弱點掃描就像是幫網站健康檢查

這一篇文章帶你簡單了解。為什麼要做弱點掃描,什麼是弱點掃描? 簡單說資安弱點掃描好比做健康檢查。人每年都要定期做健康檢查,你的網站也是要定期做健康檢查。

可能有人覺得自己沒什麼事情幹嘛花錢檢查, 但其實健檢目的為從種種方式檢驗身體情況,找出可能潛在身體問題。 弱點掃描資安檢測亦是如此,透過不同的弱掃方法做資訊安全的健康檢查,且大多數企業對於網站安全的缺乏,企業自認為做足了資安預防措施,導致網站資安漏洞百出。透過弱掃可有效了解資安狀況,為網站健康著想,找出潛藏的漏洞,加以調整補救。

透過弱點掃瞄可以試著去觀察我們的網站應用程式是否有弱點。當駭客攻擊的時候,利用這些弱點順利的攻擊到我們的系統,去做一些未授權的事情。定期做弱點掃描,能將更新的弱點提供給開發者或資安稽核,確保網站應用程式的安全。

到底漏洞怎麼發生的? 為什麼要做弱掃?

為什麼要做弱掃,不知不覺中你也不知道漏洞到底是怎麼發生的? 漏洞發生通常是很多原因造成的,這邊說明幾個可能發生的因素讓大家更了解。

  • 不當的設計

    作業系統、應用程式、元件、技術做不當的設計

  • 不當的實作

    網路規劃、系統規劃、存取控制

  • 不當的組態設定

    預設密碼、沒有依循規範政策

  • 過時的組態設定

    沒有修補或更新

  • 遭駭客利用的方式

    Bypass、加密通訊、白名單、社交工程

弱點掃描項目不同,該怎麼挑適當項目做健檢?

當你查詢健康檢查時,檢查項目和類別琳瑯滿目,你清楚要做什麼檢查項目嗎?
弱掃如同健檢也是有分檢查項目的不同,比如包含網站弱掃、系統弱掃、原碼檢測和滲透測試等,我們這邊簡單用健康檢查的概念來說明弱掃的種類。

  • 網站弱掃如大腸鏡檢查 模擬駭客入侵行為檢測

    簡單說明你可以把網站弱掃想成做大腸鏡檢測,我們都知道所謂的大腸鏡檢查,其實就是將一個鏡頭放到大腸中,檢視腸道內的狀況,是直接做侵入性檢測,找出身體有問題地方。 網站弱掃如同做侵入性檢測,就是對網站做掃描,透過模擬駭客攻擊行為,模仿駭客入侵行為,採取不同攻擊模式,針對不同的目地,找出各自的有缺失的漏洞。

    捕夢網採用國際性品牌Acunetix弱掃,透過掃描弱點分析報告結果,資訊人員依據分析報告結果進行補強該系統及網頁內容,並作為網頁安全開發重要參考,強化網站不被駭客入侵。

    了解網站弱掃Acunetix
  • 系統掃描如抽血檢查 以是否合乎標準值找出問題

    如果要用健康檢查項目類別說明,系統弱掃比較像是你去做健檢時做抽血的檢查,透過血液檢測是否合乎標準值,屬非侵入性檢查。例如可由血液中檢測找出多項數據,如肝功能指數、膽固醇指數等,經由標準值去判別肝指數或膽固醇這些數字是否超標,找出紅字亮紅燈的問題。企業系統漏洞百出,又加上程式設計者在軟體開發時如沒有考量很周全或應用程式可能本身就藏著許多漏洞,讓駭客有心從中漏洞入侵破壞啊! 這時候系統弱掃就扮演很重要的腳色。

    簡單說系統弱掃檢測就像抽血檢查一樣,可有效找出這些亮紅燈的問題,Nessus系統弱掃內建許多合乎安全標準值或多種常見駭客手段的弱點與漏洞,如同由血液檢測由標準值判別;系統弱掃將這些合規安全標準作為找出漏洞的標準值。針對系統主機或整個網路進行自動化掃描,再透過交叉分析出許多數據,找出漏洞和弱點。

    捕夢網採用國際性品牌Nessus系統弱掃,掃描後提出專業的安全分析建議報告,詳細列出系統主機及網路的安全漏洞,並且提出弱點修補建議,協助資訊人員進行弱點修補,避免遭駭客入侵

    了解Nessus系統弱掃

黑箱掃描是什麼? 包含弱點掃描和滲透測試

這章節稍微幫大家介紹黑箱和白箱掃描,前面介紹的弱點掃描主要是透過自動工具偵測作業系統與軟體系統的明顯弱點,這些弱點比較容易被發掘,只要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點,而這些弱點都會在最短時間內被修正。

滲透測試 以駭客思維突破企業系統揪出弱點

那滲透測試指的是什麼呢?滲透測試和弱掃一樣的地方都是由外部黑盒子(黑箱測試)揪出弱點,非以軟體自動化掃描。

捕夢網累積豐富的資安專家以駭客思維突破企業系統,利用不同的弱點進行多組合性攻擊,驗證任何可以突破網站防禦系統的入侵漏洞,進而評估系統的安全性,並徹底完成修補,可以找到的弱點比弱點掃描找到得更多。

原始碼掃描、靜態代碼掃描即白箱掃描

這邊的原碼檢測指的就是白箱掃描,白箱指的是可以找出Source Code的漏洞,主要用如網頁開發中或完成但未上線時測試。常用以檢查為主,程式碼檢核工具是透過程式來檢查軟體,協助資訊人員找出大量程式撰寫問題,並根據程式碼的內部構造去做測試。
白箱測試即利用自動分析程式碼,分析所有可能的資料進入點,追蹤所有可能的程式執行路徑,找出所有可能的危險因子。

原碼檢測如同核磁共振檢測 最高規格的健檢

原碼檢測好比你去做高規格、最全面核磁共振身體檢查,從頭到腳的全面性最精確的身體斷層掃描健檢。如同我們去醫院做核磁共振斷層磁掃描,幫程式做非常完善、完整的檢查。不像前面說明的大腸鏡檢測或抽個血檢測相對是較簡單的健檢,原碼檢測可以比喻為高階、高規格的健康檢查。

如何讓軟體程式防駭無漏洞? 源碼檢測通常以檢視原始程式碼的方式,指出程式中潛在的安全性弱點,分析其弱點種類、攻擊路徑等資訊種種的精確檢測,提供靜態程式碼和動態網頁安全全面性的檢測,同時也有較低的誤檢率。

捕夢網採用國際品牌Fortify原碼檢測,當透過精密檢測後找出弱點後,產出資安分析報告,讓未來在開發時可開發更安全程式碼,也可有效地管理所有軟體的安全。

了解源碼掃瞄

網站架構健檢圖 讓你清楚弱掃工具要掃哪

這邊也介紹這個架構圖可以讓你清楚知道,用什麼弱掃掃哪邊? 就像是健康檢查也分成很多部分,這邊也說明了什麼種類的弱掃工具掃哪個網站的層級。

國際組織公認漏洞標準 OWASP TOP10

OWASP Top 10 是最受歡迎和使用最廣泛的Web應用程式安全意識指南。此成了當前十個最關鍵的Web安全風險指標。包含黑箱與白箱弱點,主要以黑箱為主,這十項都是弱點掃描的主要目標,目前OWASP Top 10最新的是2021年版。從下列十大風險列表可發現 OWASP TOP 10 2021並未從 2017 年中刪除任何項目,合併了一些舊項目且添加最近演變的新風險。

OWASP Top 10 自 2017 到 2021 的版本變化
  • 第一名:2021-Broken Access Control權限控制失效(由第5名前進到第1名)
  • 第二名:2021-Cryptogrphic Failures加密機制失效(由第3名前進到第2名)
  • 第三名:2021- Injection注入式攻擊(下滑到第三名。結合 Injections & XSS 攻擊)
  • 第四名:2021-Insecure Design不安全設計(全新類別)
  • 第五名:2021- Security Misconfiguration安全設定缺陷(由第6名前進到第5名)
  • 第六名:2021-Vulnerable and Outdated Components (危險或過舊的元件)(由第9名前進到第6名)
  • 第七名:2021-Identification and Authentication Failures認證及驗證機制失效(由第2名前降至第7名)
  • 第八名:2021-Software and Data Integrity Failures (軟體及資料完整性失效)(全新類別)
  • 第九名:2021-Security Logging and Monitoring Failures資安記錄及監控失效(由第10名前進到第9名)
  • 第十名:2021-Server-Side Request Forgery(SSRF)* 伺服端請求偽造(全新類別)

MITRE ATT&CK 駭客視角全新資安威脅模型

(Adversarial Tactics, Techniques, and Common Knowledge)

駭客無所不在啊! 該如何因應? 除了上述提及的OWASP以外,這邊也介紹另一種全新的資安威脅模型的指標。ATT&CK是由MITRE建立對抗戰術和技術的知識庫,用來因應駭客最有可能發動攻擊的方法,減少資安衝擊。攻擊手法可以分解成Tactics, Techniques and Procedures,簡稱為TTPs分別代表以下意思:

  • 戰術 Tactics(T)

    攻擊者預期達成的目標即該階段的目標,定義戰術與策略

  • 技術 Techniques(T)

    達成階段目標所執行的手法即策略中的技巧與技術

  • 程序 Procedures(P)

    攻擊者所使用的工具即技術實現的過程

MITRE的ATT&CK 威脅模型中,共有12類指標方法如下:
  • 初期存取 Initial access

    駭客在發動攻擊前,摸索入侵途徑的方法

  • 執行 Execution

    駭客執行惡意程式碼和指令的方法

  • 持續性 Persistence

    駭客成功侵入系統後,能保持伏擊狀態的方法

  • 權限提升 Privilege escalation

    駭客可藉由奪取更高權限來控制受害系統的方法

  • 防禦規避 Defense evasion

    駭客在發動攻擊的同時,繞過系統防禦機制的方法

  • 憑證存取 Credential access

    駭客得到使用者合法登入認證來發動攻擊的方法

  • 探索 Discovery

    駭客能窺探系統內敏感個資和關鍵資訊的種類

  • 橫向移動 Lateral movement

    駭客成功入侵一個模組後,對下一個模組下手攻擊的方法

  • 蒐集 Collection

    駭客能盜取資料的種類

  • 指揮與控制 Command & Control

    駭客奪取系統控制權後,能介入操控的項目

  • 滲出 Exfiltration

    駭客能攜帶外流個資和關鍵資訊的方法

  • 衝擊 Impact

    駭客攻破系統後,對系統造成的危害種類

弱點掃描比較表

弱掃工具百百種,捕夢網幫你做整理,讓你更清楚弱掃的差異性? 做什麼樣的弱掃挑什麼適合的弱掃工具!

系統弱掃 網站弱掃 原碼掃描 滲透測試 APT 紅隊演練
弱掃類別 OS(Windows/Linux) Vulnerability Assessment (Web/App) Vulnerability Assessment Code review Penetration Test Advanced Persistent Threat Red Team Assessment
捕夢網提供弱掃服務
掃描種類 黑箱掃描 黑箱掃描 白箱掃描 黑箱掃描 黑箱掃描 黑箱掃描
弱掃類型 系統弱掃 網站弱掃 程式弱掃 滲透測試 進階滲透測試 企業資訊設備
執行方式 以自動化檢測工具(Nessus)針對系統進行偵測,評估系統漏洞及威脅,產出檢測報告,提供問題風險排序。建議配合人工以驗證合規性 以自動化檢測工具(Acunetix)針對網站以及網站程式掃描漏洞,自動產出檢測報告。建議配合人工以驗證合規性 以自動化檢測與分析工具(Foritfy)進行程式源始碼檢測,指出安全漏洞及所對應的程式碼行數,提供程式修正與建議。建議配合人工進行程式碼修正 模擬駭客的思維,針對目標(系統或環境或設備)發動網路攻擊。攻擊力度較APT比較弱化。 模擬駭客的思維以針對、持續、隱密的方式,針對目標(系統或環境或設備)發動一個複雜多面向的網路攻擊,維持數天至數月不等。攻擊力度較滲透測試更加強化。 結合自動化工具及專業人力,針對目標(系統或環境或設備)檢測出自動化檢測工具無法檢測出來的漏洞,為真實性最高最具參考價值的合規性報告
進行掃描意義 係針對系統進行風險性檢測,測試深度廣度兼顧。協助企業符合下述各項合規性 係針對網站以及網站程式進行風險性檢測,測試深度廣度兼顧。協助企業符合下述各項合規性 係針對程式碼(系統或程式皆可)進行根源性檢測,著重測試深度。協助企業符合下述各項合規性 採用MITRE ATT&CK®作為主要檢測依據,驗證企業的評估資訊系統與硬體安全性是否有待加強。 採用MITRE ATT&CK®作為主要檢測依據,驗證企業的評估資訊系統與硬體安全性是否有待加強。 採用MITRE ATT&CK®作為主要檢測依據,驗證企業的評估資訊系統與硬體安全性是否有待加強。有時可搭配防守方一同進行
國際組織公認漏洞標準 (合規性) 符合OWASP 符合OWASP 符合OWASP 符合OWASP 符合OWASP 符合OWASP
N/A N/A N/A 符合MITRE ATT&CK® 符合MITRE ATT&CK® 符合MITRE ATT&CK®
符合CVE 符合CVE 符合CVE 符合CVE 符合CVE 符合CVE
符合NIST 符合NIST 符合NIST 符合NIST 符合NIST 符合NIST
符合PCI DSS 符合PCI DSS 符合PCI DSS 符合PCI DSS 符合PCI DSS 符合PCI DSS
符合HIPAA 符合HIPAA 符合HIPAA 符合HIPAA 符合HIPAA 符合HIPAA
掃描範圍 作業系統(Guest OS) 網站以及網站程式 程式源始碼 系統或環境或網路設備 系統或環境或網路設備 系統或環境或網路設備
弱掃頻率(多久執行一次) 每月一次 每季一次 依程式更新範圍與頻率 1至2年一次 1至2年一次 1至2年一次
執行所需時間 根據系統規模大小、掃描情境及範本和檢測詳細程度預估執行時間 根據網站及網站程式大小、掃描的風險性多寡和掃描詳細程度預估執行時間 根據程式碼行數多寡及檢測詳細程度預估執行時間 根據跟企業討論的執行標的、規模和預算排定時間執行 根據跟企業討論的執行標的、規模和預算排定時間執行 根據跟企業討論的執行標的、規模和預算排定時間執行
成本 $ $$ $$$ $$$$ $$$$$$ $$$$$$$$$$$$$$
改善開發人員的危險習慣
改善維運人員的不當配置
盤點企業整體安全性
精確與實用的檢測報告

名詞說明:

  • OWASP(Open Web Application Security Project,開放網路軟體安全計畫)
  • PCI DSS(Payment Card Industry Data Security Standard,支付卡產業資料安全標準)
  • HIPAA(Health Insurance Portability and Accountability Act,健康保險流通與責任法案)
  • NIST(National Institute of Standards and Technology,美國國家標準技術研究所)
  • CVE (Common Vulnerabilities and Exposures,常見漏洞與披露)
  • MITRE ATT&CK® (MITRE Adversarial Tactics, Techniques, and Common Knowledge,戰術、技術和知識庫)