什麼是滲透測試?香港企業是否需要?
香港企業的滲透測試通俗指南——滲透測試是什麼、不同類型的測試、費用、何時值得進行,以及如何委托真正能提升安全價值的滲透測試。
香港企業的滲透測試通俗指南——滲透測試是什麼、不同類型的測試、費用、何時值得進行,以及如何委托真正能提升安全價值的滲透測試。
滲透測試(pentest)是由安全專業人員進行的結構化、經授權的攻擊模擬,旨在在真實攻擊者發現之前識別系統、網絡或應用程式中的可利用漏洞。滲透測試人員使用與惡意攻擊者相同的技術、工具和思維過程,但在限定範圍內且經您明確授權。結果是一份報告,記錄發現的漏洞、漏洞被利用的潛在影響、漏洞在測試中如何被發現和利用,以及建議的修復行動。滲透測試通過實際利用而非理論評估,提供您的安全管控有效性的基於證據的保證——或揭示其無效性。
滲透測試與漏洞掃描根本不同,這對正在評估安全服務的香港企業是一個重要區分。漏洞掃描是一種自動化工具掃描,識別軟件版本、配置錯誤的服務和暴露的端口中的已知漏洞——它產生一份潛在問題列表,但不驗證哪些實際可被利用。滲透測試更進一步:技術高超的測試人員獲取透過掃描識別的漏洞(以及許多自動化工具未發現的漏洞),嘗試實際利用它們、將多個漏洞串聯以達到比任何單一漏洞所示更大的影響,並展示真實世界的攻擊情境,包括攻擊者在初始存取後如何在您的網絡中橫向移動。結果是對您實際安全狀況的質性不同理解。
滲透測試不是一次性確認系統安全的靈丹妙藥或認證。滲透測試反映您的系統在特定時間點、在測試的特定條件下、針對測試的特定範圍和威脅情境的安全狀況。系統不斷變化、新漏洞持續出現、新攻擊技術不斷發展。1月份確認您網絡安全的滲透測試,可能無法反映2月份部署的新服務器引入的漏洞,或3月份未應用的關鍵補丁。滲透測試作為定期驗證活動最有價值——對大多數香港企業而言通常每年一次——補充持續安全管控而非取代它們。
外部網絡滲透測試評估攻擊者在對您的系統沒有任何先驗知識或存取的情況下,從互聯網可以存取什麼。測試人員僅從您機構的名稱和互聯網可見基礎設施開始——IP範圍、域名、面向互聯網的服務——嘗試從外部入侵您的系統,模擬機會性或針對性的外部攻擊者。這是最常委托的滲透測試類型,適合任何擁有面向互聯網系統的香港企業。外部網絡滲透測試揭示易受攻擊的面向互聯網服務、配置錯誤的防火牆,以及公共系統(包括遠端存取網關、網頁應用程式和電郵服務器)中的身份驗證弱點。
內部網絡滲透測試模擬已透過被入侵的員工帳戶、網絡釣魚攻擊或內部人員獲得初始存取內部網絡的攻擊者。從內部網絡上的工作站或服務器出發,測試人員嘗試提升特權、橫向移動並到達高價值目標,包括域控制器、財務系統和備份基礎設施。內部網絡滲透測試對評估勒索軟件抵禦能力尤為相關——由於勒索軟件操作者在初始存取後花費大量時間在內部網絡橫向移動,內部滲透測試可揭示被入侵的工作站可以橫向移動多遠以及可到達什麼。對於擁有本地基礎設施的香港企業,內部網絡滲透測試應與外部測試配合進行。
網頁應用程式滲透測試專門針對網頁應用程式——帶有登入功能的面向客戶網站、電子商務平台、基於網頁的業務應用程式和API。網頁應用程式滲透測試遵循OWASP測試指南和WSTG(網頁安全測試指南)等方法框架,評估OWASP十大漏洞,包括SQL注入、跨站腳本(XSS)、身份驗證缺陷和訪問控制缺陷。對於運營面向客戶網頁應用程式的香港企業——特別是涉及財務交易、客戶帳戶存取或個人資料 ↗處理的——年度網頁應用程式滲透測試是標準安全實踐,如果處理銀行卡付款,PCI-DSS可能要求進行。社會工程和網絡釣魚模擬測試在本指南的專屬文章中有所涵蓋。
並非每家香港中小企都需要滲透測試——滲透測試的價值取決於擁有足夠成熟的安全基線,使測試發現能夠被理解和修復。尚未實施MFA、應用基本補丁或部署終端設備保護的中小企,可能會收到充斥關鍵發現的滲透測試報告,而這些發現本可通過基本安全衛生識別和修復,無需滲透測試的費用。對於此類機構,安全投資最好首先用於實施基礎管控。一旦基本管控到位,滲透測試驗證這些管控是否真正按預期工作,並識別仍然存在的殘餘漏洞。
為香港企業的滲透測試提供理由的具體觸發事件包括:重大IT基礎設施變更(新網絡架構、遷移到雲端、重大應用程式部署)、安全事故後(了解入侵的完整範圍並驗證清除)、作為合規框架的要求(支付銀行卡處理商的PCI-DSS、ISO 27001認證、受HKMA ↗監管公司的考試準備)、在推出處理個人資料 ↗或財務交易的面向客戶網頁應用程式或API之前,以及作為金融服務、法律和醫療等高風險行業企業的定期安全保證。網絡保險承保商在保單續約時越來越多地詢問滲透測試頻率。
香港滲透測試的費用因範圍、方法和提供商而有很大差異。典型中小企(具有少量面向互聯網IP)的外部網絡滲透測試費用從港幣20,000至60,000元不等。網頁應用程式滲透測試取決於應用程式複雜性——簡單應用程式從港幣25,000元起,複雜的多功能平台費用顯著更高。內部網絡測試通常為港幣30,000至80,000元,取決於範圍。HKPC通過其網絡安全專業義務工作計劃為香港中小企提供補貼的漏洞評估和滲透測試計劃,可為預算有限的企業提供可及的評估。在選擇滲透測試提供商時,驗證首席測試人員持有相關認證(OSCP、CREST、CEH),以及提供商持有該工作的專業賠償保險。
有效委托滲透測試需要明確界定範圍、選擇合格提供商,以及建立適當的治理。範圍定義精確說明哪些系統、應用程式和網絡在測試範圍內、測試方法(黑盒——沒有先驗信息,灰盒——有限信息如網絡圖,白盒——提供完整系統文件)、測試時間窗口(工作時間、非工作時間或兩者均有),以及交戰規則(哪些類型的利用已獲授權,哪些被明確禁止——例如,生產環境的交戰規則中可能排除數據外洩模擬)。明確界定的範圍既防止範圍蔓延(測試人員超出授權範圍),也防止範圍缺口(重要系統被排除在測試外)。
在香港選擇滲透測試提供商需要評估:實際進行您工作的測試人員持有的技術認證(不僅僅是公司層面的認證——驗證OSCP、CREST CRT或同等認證屬於做您測試的人);在您行業和技術環境方面的以往經驗;可交付報告的全面性和可用性(要求查看樣本報告);工作期間的回應時間和溝通;專業賠償保險覆蓋;以及以往客戶的推薦信。CREST(註冊道德安全測試委員會)和CHECK(英國政府計劃)認證計劃提供知名滲透測試公司使用的質量保證框架。HKPC ↗維護HKPC認可的網絡安全服務提供商名單,包括滲透測試公司。
滲透測試後,修復和重新測試對實現投資的安全價值至關重要。未採取行動的滲透測試報告記錄了您的漏洞,但沒有安全改善。按嚴重性和可利用性對發現進行分類——具有高可利用性的關鍵發現必須立即修復,而較低嚴重性的發現可在計劃的改善計劃中解決。對每個發現制定具體的修復行動、分配所有權並設定修復截止日期。大多數滲透測試提供商提供重新測試以驗證發現是否已正確修復——這一驗證很重要,因為複雜漏洞的不正確或部分修復很常見,重新測試確認實際的安全改善。維護跟蹤所有發現、修復狀態和驗證的滲透測試發現修復登記冊,為監管和保險目的提供有用的文件。
