網路安全測試的迷思與常見問題
這篇文章主要說明網路安全的一些迷思與FAQ。
筆者跟許多業界(非資訊安全領域)的先進交流也上了許多的課程
這之中有許多的疑問也有一些迷思,筆者希望摘要做一些釐清。
1. 可以防護到什麼層級的駭客?
Http / Https 是許多雲端服務使用的通訊協定,OWASP組織定義網路雲端安全威脅,
這個組織由全世界超過2000+資安顧問、廠商所共同調查研究制訂。十大網站威脅
請問如果這時十大威脅都有所防護,
可以有怎樣的防護效果 50% or 80%?
可以阻擋怎樣的駭客? Junior or Senior 駭客?
要回答這樣的問題,筆者要先釐清幾個迷失。
1. 每一個攻擊都是一門很深入的學問。
例如 A1 Injection,世界上沒有任何一個系統可以宣稱,我的系統可以完全避免 Injection攻擊!
只是防護程度的不同。因此,要做到多深的防護,也取決於每個系統的功能與所能投資的時間。
2. Junior 駭客 or Senior 駭客?
都有可能! 因為有可能 Junior 駭客只會一招。而這招偏偏就是系統的嚴重漏洞。
所以就算有一個整題的防禦率指標,這樣的指標也是資訊安全業界所定義,僅供參考!
這樣的指標在駭客界是僅供參考! 就像紅綠燈一樣。紅綠燈是給遵守交通規則的人看的。
2. OWASP Top 10 是駭客會依循的嗎?
OWASP Top 10 也好或是 ISO 27001也好都是資訊安全專家或是白帽駭客等所共同制定。
頂尖的駭客絕對不會依照這樣的攻擊,還區分 第1名..第2名..
駭客的攻擊多半是混合型 1~10名所有的攻擊混合,另外透過許多社交工程的方式,
再次強調,駭客是不會按照牌理出牌。
- 不要質詢駭客為什麼不是用第一名的攻擊方式?
- 為什麼你的第二名攻擊方式有點變型?
- 為什麼你不是先用第一名攻擊再用第二名?
這些問題在駭客眼裡是不存在的。OWASP top 10 是資訊安全專家定義,不是駭客定義!
因為資訊安全專家或是業者,我們不可能像駭客那樣任意攻擊,沒有章法。
一個完整的資訊安全健診還是需要像健康檢查一般,整個流程與檢核表。
就像是身體的病毒一般,病毒是完全不會理會整個檢核的流程或是一定要從身體的什麼地方感染。
3. 為什麼不用駭客工具測試?
既然是這樣,為什麼我們資訊安全健診不用駭客工具來做測試?
而要買第三方昂貴的工具 IBM or HP 等業界知名工具呢?
1. 因為這些工具都重內建安全的標準與規範,除了測試可以比較完整,也間接提供第三方的公信力
2. 駭客的工具通常是針對特定攻擊,除了使用會有學習門檻,另外也會對於整體的安全檢查會有所遺漏
筆者建議,可以用第三方的商業工具進行初步的健診,
針對特定領域的攻擊,可以再用駭客工具進行細部的測試或是實驗。
4. 使用”自動化”安全測試工具就好了阿?
許多人會運到,使用自動化安全測試的工具就好了,為什麼還需要資訊安全專家再次檢查?
筆者做一個比喻。安全自動化測試工具就好比是高科技的轟炸機。資訊安全專家就好比是訓練精良陸戰隊。
有高科技轟炸機為什麼還需要陸戰隊? 轟炸機可以把整個山頭炸到樹木清空,但是卻無法傷害到碉堡或是地底下所有的隧道。
舉幾個例子:
- 自動化測試工具怎麼知道這個頁面是要登入後才能存取?
- 自動化測試工具怎麼知道你的系統設計,使用者A 與使用者B權限管理上,所看到的畫面或是存取的頁面有哪些不同?
- 自動化測試工具怎麼知道你的購物商業流程一定要經過哪些步驟?
5. 防毒軟體可以防駭客嗎?
安裝防毒軟體是不是就可以阻擋上述的 OWASP top 10 十大網站威脅呢?
回答這個問題我們就必須檢視 “防毒” 軟體的定義與範圍。
網站開門做生意,面對的是所有大眾任何的 Http or Https 的網路流量,
因此除非該防毒軟體可以針對網路流量,具備基本的防火牆或是入侵偵測的功能,
否則防毒軟體在這個情境下還是無法防護的。
當然,實務的情況更複雜。APT攻擊!
駭客配合社交工程,透過 Email 夾檔 PDF 寄給員工,誘導員工開啟該 PDF,病毒啟動對外連線,
這層層的防護,考驗著防毒軟體是否可以在第一時間將該 email 攔截?
是否可以辨識出該 PDF?
是否可以受害者在開啟PDF即時的阻攔對外的惡意連線等?
怎樣的基本的企業防毒架構呢?
6. 基本的企業防毒架構包含哪些要素?
7. 安全的防護與標準要靠政府制定?
再次強調所有的標準對於駭客都是僅供參考!
駭客當然也不會等待任何人的允許。
商業的環境是變動很快速的!
如果要等待到政府有制訂什麼規範或是安全標準再來防護的話…..
相信讀者自己有答案了