弱點掃描是什麼?認識定期弱點掃描 5 大優勢
如同人類進行身體健康檢查,資訊系統也可以透過全面盤點,找出潛在的資安風險,並先行補救、防範於未然。「弱點掃描(Vulnerability Scanning)」就是一種常見的系統健康檢查。本文將深入介紹弱點掃描是什麼,有哪些種類、為什麼重要,以及回答相關常見問題。
弱點掃描是什麼?
「弱點掃描(Vulnerabiltiy Scanning)」有時也稱為「弱點評估(Vulnerability Assessment)」,是針對 IT 設備與環境,包含網路連線、應用程式等,進行徹底檢測的過程。目的在於找出系統內潛藏的漏洞,且在漏洞被駭客利用來發動網路攻擊前(例如零日攻擊),及早修補,以將資安威脅降到最低。
看重資安的企業和組織通常會同時使用多種防護措施,保護系統免受資安危機的影響,包含 WAF、端點安全防護、DDoS 防禦工具。然而即便如此,弱點掃描仍有一定的重要性。因為資訊系統中,難免會因為像是網頁或應用程式設計不良、久未更新、系統架構規劃不佳、釣魚攻擊等原因出現安全漏洞。例如以下常見的系統漏洞:
-
程式碼瑕疵:應用程式或網頁中的程式碼瑕疵,可能使其容易受到跨網站指令碼(Cross-Site Scripting,XSS)攻擊、 SQL 注入攻擊或其他類型的注入攻擊。
-
未受保護的網路埠:伺服器、電腦、行動裝置或其他端點設備中開放的網路埠,可被利用來散播惡意軟體。
-
配置錯誤:系統或應用程式是否有錯誤的設定和設置,例如使用原本預設的密碼、傳輸訊息未加密、將機敏資料暴露於公共網路中等等。
-
未更新軟硬體:未即時更新系統中的軟硬體,修補資安弱點,避免讓駭客有機會利用漏洞。
-
弱密碼:密碼強度不夠容易遭受暴力破解攻擊。
駭客利用上述安全漏洞的手法變化多端莫測,也可能以前所未見的方式進行網路攻擊。針對已知的惡意攻擊手法安排的防護措施,不一定能成功阻絕新型態的網路攻擊。因此定期進行弱點掃描、即時補救,對維護系統資安來說還是相當重要。
弱點掃描同時是弱點管理生命週期(Vulnerability Management Lifecycle)中的第一步,在「探索」階段,以自動化工具掃描系統,尋找弱點。弱點管理生命週期可分為:「探索」、「排列優先順序」、「評定」、「報告」、「補救」以及「驗證和監控」。下面段落將詳細介紹探索中的弱點掃描有哪些方式、範疇與項目。
弱點掃描的方式、範圍與項目
現代企業和組織的 IT 系統複雜,且多為因應各自的營運需求,有不同的規劃、設計和內容。弱點掃描的項目自然也就包羅萬象,種類繁多。企業可依照自身 IT 架構和弱點掃描期望目標,選擇最適合的掃描方式、範圍與項目。
一、弱點掃描方式:黑箱 vs 白箱
-
- 黑箱:黑箱弱點掃描在執行過程中,掃描者無從得知受測試系統的程式碼內容,將接近真實使用情形。也因此,黑箱弱點掃描可協助找出外部駭客能利用的漏洞。
-
白箱:白箱則相反,掃描者可以看到受測試系統的程式碼內容。而白箱弱點掃描會因為知道程式碼內容,掃描中可避免針對已知項目進行無意義測試,也讓企業或組織有機會分析程式碼和排除錯誤。
二、弱點掃描範圍
-
-
外部弱點掃描(External Vulnerabilty Scans):針對企業內網以外的地方,以及面向公共網路的資產進行的弱點掃描,例如網站應用程式、外圍防火牆等。
-
內部弱點掃描(Internal Vulnerabilty Scans):針對企業網路內部進行的弱點掃描,檢查有沒有駭客可以利用來入侵並深入系統的漏洞。
-
已驗證弱點掃描(Authenticated/Credentialed Vulnerabilty Scans):授予弱點掃描工具系統的存取權限,以檢查在擁有存取權限的情況下,系統中哪些可被利用的弱點。
-
未驗證弱點掃描(Unauthenticated/Non-credentialed Vulnerabilty Scans):不將系統存取權限授予弱點掃描工具,以了解在無存取權限的情況下,有哪些弱點。
-
弱點掃描雖然可以依據範圍分成以上四類,但這四個類別在實務上並非互相獨立存在的。進行掃描時,通常會依需求綜合使用,以達到最佳效果。
三、弱點掃描常見項目
而根據弱點掃描的對象,又有以下常見的掃描項目:
-
-
網路掃描:檢查 IP 地址、網路埠、路由器、網路交換器、防火牆等中是否有漏洞。
-
系統掃描:檢查作業系統和更新版本、與作業系統運作有關的應用程式中是否有漏洞。
-
應用程式掃描:檢查 Web 應用程式、API 接口、使用者安裝的軟體中是否有漏洞。
-
資料庫掃描:檢查所使用的資料庫中是否有漏洞,同時會注意資料庫是否容易遭受 SQL 注入攻擊的影響。
-
憑證和身份驗證掃描:檢查系統的身份驗證機制是否有漏洞、系統中有無弱密碼。
-
配置掃描:檢查系統、網路設備和應用程式的配置、安全協定和加密方式中是否有漏洞。
-
修補程式掃描:檢查系統和應用程式的版本是否已更新到最新版,安裝最新的安全修補程式,或是系統中有沒有原供應商已無支援更新版的軟體。
-
雲端基礎設施掃描:檢查雲端運算環境中是否有漏洞,包含雲端服務、雲端配置、雲端資源的存取權限等。
-
物聯網設備掃描:檢查物聯網(IoT)設備中是否有漏洞。例如連網的 IoT 製造機器,可用來協助預測機器故障,掌握生產時程,但也因為連至網路,有機會出現資安漏洞。
-
定期執行弱點掃描的好處
對企業和組織來說,定期進行弱點掃描有 5 大好處:
-
-
降低資安風險:搶先駭客發現系統中的弱點,並及時予以補強,可有效減少網路攻擊與資安事件發生的機率。
-
評估資安措施效果:除了降低資安風險以外,進行弱點掃描也讓企業和組織有機會仔細審視自己的資安防護設計與實施功效。
-
提高資安意識:進行弱點掃描之後,企業和組織可以更了解自己的系統可能受到哪種資安威脅,並在規劃相當的內部資安教育訓練,提高資安意識,並協助所有人員了解最佳的資安做法。
-
提升合規性:某些產業的企業和組織需遵守政府關於定期弱點掃描的法規,提高安全性,也避免法律問題。另外,有些企業或組織內部的資安政策也可能有關於弱點掃描的規範,定期弱點掃描有助於符合合規性要求。
-
維護企業/組織名譽:使用者資料外洩、系統停機、服務暫停等資安事件可能對企業和組織的名譽有負面影響,定期弱點掃描,減少資安事件,有助於維持正面形象。
-
弱點掃描 v.s. 滲透測試
除了弱點掃描以外,還有另一個常為企業與組織使用的資安系統檢查作法:「滲透測試(Pentration Testing)」。滲透測試通常由資安專家進行,針對系統中的漏洞設計不同的攻擊手段,模擬駭客實際發動網路攻擊的情況。如果說弱點掃描相當於身體健康檢查,那滲透測試則如同軍事演習。下面將兩者主要差異整理為表格:
|
弱點掃描 Vulnerability Scanning |
滲透測試 Penetration Testing |
|
|
目的 |
|
|
|
進行方式 |
使用自動化掃描工具 |
由資安專家使用各式資安工具,人工進行測試 |
|
自動化程度 |
高度自動化 |
自動化程度有限,需要人類分析漏洞、結果以及影響 |
|
報告內容 |
漏洞清單 |
詳細解釋利用的漏洞種類、駭客路徑,可採取的緩解措施等 |
|
所需時間 |
所需時間較短,受掃描方式、範圍和項目影響,但多以小時為單位計算 |
所需時間較長,通常以天為單位計 |
弱點掃描常見問題
Q1:弱點掃描會影響使用者嗎?
A:進行弱點掃描的同時,使用者還是可以存取系統內的資源。但是因為弱點掃描也會消耗系統資源,例如 CPU、記憶體、網路頻寬等等,造成負載,有可能降低資源效能,影響使用者。因此在業務量較低的時候進行弱點掃描,對一般企業來說是個比較好的選擇。
Q2:一次弱點掃描需要多久?
A:弱點掃描所需時間會因選擇的掃描方式、範疇和項目有所不同,少則一小時內,多則 72 小時都有可能。
Q3:建議多久進行一次弱點掃描?
A:弱點掃描的頻率多視企業組織的法規和資安需求而定,可能每週、每月一次,通常建議最少每 3 個月一次。也可以透過系統內部的資料重要程度,來決定弱點掃描的頻率。若資訊系統中儲存了大量機敏資料,如信用卡號碼、身分證字號等,可提高系統中儲存和處理這些機敏資料相關軟硬體的弱點掃描次數。
Q4:弱點掃描的流程為何?
弱點掃描的流程,可以簡單分為三步驟。第一步是和弱點掃描廠商討論需求和系統網路架構,決定掃描的範圍、項目和方式。然後就可以依照所選內容進行掃描、分析結果,完成弱點掃描報告。最後,廠商交付並解釋報告。
【弱點掃描流程示意圖】
Q5:弱點掃描跟滲透測試如何選擇?
A:弱點掃描跟滲透測試都是用來了解系統資安漏洞的檢測流程,兩者目的不同:「弱點掃描」以全盤檢測為主;「滲透測試」則深入個別漏洞,檢測系統防禦強度。建議兩種測試都使用,更能做好資安防護。
Q6:弱點掃描有參考標準嗎?
A:常用弱點掃描風險參考的國際標準有:OWASP TOP10、OSSTMM、NIST SP 800-171、CVSS、CVE、CWE。
晟崴科技的弱點掃描服務使用業界權威的掃描工具,為企業/組織量身打造全面的資安風險評估流程。除了協助企業和組織找出系統中的資安弱點以外,更有資安專家顧問,根據漏洞提供最佳解決方案,有效降低漏洞攻擊風險!
立即聯絡晟崴科技幫您評估資安風險
