滲透測試資訊安全顧問服務

16
圖文/萬弘資訊所有 http://www.wanhung.com.tw 滲透測試資訊安全顧問簡述 連絡人:萬弘資訊顧問周世洪先生 Email:[email protected] Web:http://www.wanhung.com.tw Lineid:wanhung1911 1

Upload: yang-foung

Post on 31-Jul-2015

65 views

Category:

Documents


6 download

TRANSCRIPT

圖文/萬弘資訊所有 http://www.wanhung.com.tw

滲透測試資訊安全顧問簡述 連絡人:萬弘資訊顧問周世洪先生

Email:[email protected]

Web:http://www.wanhung.com.tw

Lineid:wanhung1911

1

圖文/萬弘資訊所有 http://www.wanhung.com.tw

定義:

用技術、用方法、用工具找出目前受測單位內資訊環境的弱點與漏洞,進而取得權限甚至擴張權限。

目的

透過滲透測試可預先找出可能的弱點或漏洞,以加強弱點修補或安全強化。

分類

白箱測試:預先了解受測單位的環境、架構、系統、程式後,進行邏輯性、流程面、資料流動串接的弱點分析與測試。(多數人認為於開發階段進行)

黑箱測試:僅由受測單位提供網址或是IP,就直接模擬駭客手法開始測試。(業界多數採黑箱)

2

何謂滲透測試

圖文/萬弘資訊所有 http://www.wanhung.com.tw

滲透測試執行流程圖

3

各階段作業

參考後方投影片

圖文/萬弘資訊所有 http://www.wanhung.com.tw

合約簽署與訂定規則階段

合約簽署(指授權書):本階段是讓受測單位(即客戶端人員)了解、同意此滲透測試的執行是經過雙方同意下且經由客戶授權,服務過程中可能造成資訊環境設備、電腦效能降低、或暫時性中斷、產生大量事件或警示而造成磁碟空間不足的狀況須被客戶所接受 。

訂定規則:講好哪些滲透方式可以作,哪些不能作?

例如:入侵取得權限後、是否可持續在內部擴張權限?

或是是否可安裝 「後門程式」、「木馬程式」、或是

是否可置換頁面資訊、是否可採用大量網路封包、是

否可放資料進資料庫或是系統內。

4

圖文/萬弘資訊所有 http://www.wanhung.com.tw

制定攻擊計畫

說明:

組織技術團隊、選用適當之滲透測試工具、方法並定制定攻擊策略。

針對不同系統、受測方式,選用的策略也不盡相同。

組團隊

選工具/方法

定策略

5

圖文/萬弘資訊所有 http://www.wanhung.com.tw

技術性掃描與資訊蒐集

說明:透過任何方式(技術性、非技術性、網路搜尋)去蒐集受測系統的所有資訊,例如: 服務項目、系統平台(Windows或是Linux..)、程式語言(php、jsp、asp.net、C#)、既有的版本漏洞、網站與網站的關聯(摸索內部網路)、或是簡易測試掌握資料流的傳遞、介接進行方發。

6

圖文/萬弘資訊所有 http://www.wanhung.com.tw

找出漏洞、弱點或取得權限

說明:依據前一個階段「技術性掃描與資訊蒐集」所得到的資訊,再透過多項適用之網路工具(付費、免費,例:Nessus、nmap、webinspect、wireshark、google…等)、攻擊方法交叉混合使用進一步找出可能或已知的漏洞或弱點後,嘗試取得權限與擴張權限,建立「立足點」。

7

圖文/萬弘資訊所有 http://www.wanhung.com.tw

產製滲透測試結果報告

說明:依據滲透測試所得到的資訊進行報告的產出,通常核心內容都會以高、中、低三個等級的風險來進行呈現與說明。

例:SQL Injection (結構化查詢語言的攻擊注入)

高風險:有可能造成資料庫內會員交易資料遭受破壞、竄改、取得。

例:Script Error

中風險:使用者輸入資料格式錯誤可能造成網站回應過慢、或是頁面錯誤的風險。

例:網路路徑追蹤(路由追蹤)

低風險:可藉由tracert或是traceroute的指令追蹤網站位置。

8

完整資訊提供

圖文/萬弘資訊所有 http://www.wanhung.com.tw

資訊安全顧問服務輔導(萬弘資訊首頁)

SO27001:2013資安管理制度顧問輔導(資安顧問服務)

資訊安全風險管理顧問服務(資安顧問服務)

資訊安全風險管理與營運持續管理(資安顧問服務)

資訊安全營運持續管理(資安顧問服務)

資訊安全顧問服務檢測說明

資訊安全服務與文章

圖文/萬弘資訊所有 http://www.wanhung.com.tw

ISO27001pdf

ISO27001:2013資安管理制度相關文章

ISO 27001:2013資訊安管理系統新版控制項介紹

資訊安全管理系統ISO 27001:2013本文簡介

ISO 27001:2005與ISO 27001:2013重點差異說明pdf

ISO 27001:2013資訊安全管理系統

資訊安全服務與文章

圖文/萬弘資訊所有 http://www.wanhung.com.tw

個資委外監督稽核查核服務(資安顧問服務)

網路個資刪除移除服務與諮詢(資安顧問服務)

個資管理制度輔導(資安顧問服務)

個資風險管理評估服務(資安顧問服務)

個人資料管理制度輔導(資安顧問服務)

個資保護服務與文章

圖文/萬弘資訊所有 http://www.wanhung.com.tw

資訊安全範例分享(資安顧問提供)

whoscall個資外洩與追蹤(資安顧問案例)

資訊安全內部稽核案例(資安顧問服務)

資訊安全內部稽核實務(備份)_資安顧問觀點

資訊安全案例分享