資安弱點掃描v.s滲透測試,差異在哪?3分鐘看優缺點與流程!

2022/11/08

你知道在網路資訊安全中,常聽到的弱點掃描&滲透測試,兩者的差異在哪嗎?兩種不同的資安,各自的優缺點及運作流程又是如何呢?面對網路駭客的威脅,企業或個人更加重視網路世界的安全防護,使弱點掃描&滲透測試,成為資安的重要技術之一。以下就帶您一起來瞭解兩者之間的差異性吧!

什麼是弱點掃描?
所謂「弱點掃描」服務,是由弱點掃描軟體找出網站已知的漏洞,由資安團隊驗證,排除軟體誤判的弱點, 並提供明確的修補方式,可使企業維持一致的安全水平。由於新漏洞及更新通知時時刻刻在發布,定期執行弱點掃描,可發現常見的技術型漏洞、網站設定的缺失、網站遺漏的更新項目,使網站維持一定的資安水平。
滲透測試v.s弱點掃描的差異:
滲透測試
- 資安人員模擬駭客思維對目標網站進行攻擊,攻擊手法較彈性,可進行較深入的攻擊,並依照漏洞情境及所影響範圍進行風險評估,相較於弱點掃描,測試時間較長。
- 能找出技術面、程式流程面、邏輯面之漏洞,以拿到系統控制權限為最終目標,應對程式碼端的防護時,人工測試成為優勢,以彈性的攻擊方式繞過程式上的防禦。
- 可檢測非立即性、具時效性、跨平台之漏洞,於第一時間找出從未發現的攻擊途徑與尚未發佈的資安漏洞。
- 檢測以滲透測試方法論 OWASP Testing Guide v 4.2為主,國際標準 NIST SP 800-115 - 資訊安全測試與評估指南、OSSTMM 開源安全測試方法指南第三版為輔
弱點掃描
- 花費較低,耗時較少人天
- 主要是倚賴自動化掃描軟體找出網站目前存在的已知弱點
- 可以一次做大規模數量的程式掃描
- 以掃描軟體對網站進行掃描,資安人員依據掃描結果做誤判排除
- 攻擊指令固定,可發現常見的技術型漏洞、網站設定的缺失、網站遺漏的更新項目,但無法測試邏輯型及跨平台驗證類之漏洞

弱點掃描&滲透測試,企業要如何選擇?多久需要執行一次?
滲透測試:若具會員登入、交易行為等動態網站,建議選擇滲透測試,網站上線前進行一次測試,未來一年進行一次,或於有新功能上線時進行測試。
弱點掃描:若純為靜態網站,或功能較單純之動態網站,可平均一季至半年進行一次弱點掃描,使網站維持一定的資安標準。


延伸閱讀:
源碼檢測是什麼?動態&靜態的弱點掃描測試有什麼不同?
什麼是滲透測試?從網路資安看Client-Side Template Injection

其他訊息