【資安科普】弱掃是什麼?關於弱掃的五個小知識與 QA | (Vulnerability Assessment)

#資訊安全

【資安科普】弱掃是什麼?關於弱掃的五個小知識與 QA | (Vulnerability Assessment)

「XX購物網近日遭駭客攻擊,造成數萬筆個資流出,目前警調單位正......」

身為金融從業人員、購物網站主、政府機關人員,這樣的標題是不是讓你膽戰心驚呢?今天要討論的主題就是在網站上線前,能讓您防患勝於未然的「網站弱掃」。

前言 — 弱掃是什麼?

弱掃其實是「弱點掃描 Vulnerability Assessment」的縮寫,概念就像是給網站打的疫苗。

利用工具,偵測網站的弱點,再將網站的各個角落進行風險級別分類,進而透過修繕這些弱點,加強網站的保護屏障。

在了解弱掃是什麼之後,我相信你心中還是有一些疑惑,為了解答這些疑惑,接下來的文章,將會以一邊補充背景知識,一邊整理問題的方式呈現:

知識一、弱掃的進行步驟

以夏木樂為例,假如委託夏木樂進行弱掃,會經歷以下五個步驟:

1.遠端弱掃開始

通常網頁公司人員會使用遠端工具,不必到客戶身邊,也能透過IT設定開始弱掃,弱掃的進行通常會維持一天左右。

這時候,許多客戶會有疑惑:

Q1:這一天的弱掃,會影響使用者嗎?

答案是「99%不會」。

弱掃工具有很多種,有些工具會主動攻擊網站,測試網站承受度,但不會把網站攻擊到無法正常運作的程度,有些則是會使得網站新增許多髒資料,基本上,以上狀況都不影響網站的使用。

2.弱掃結束,產出報告

報告分成兩個,第一個報告的內容為此網站中低、中、高風險存在位置分析,由弱掃工具提供。第二份則是由網頁設計公司整理第一份報告內容,加上相對應的解法與報價組成,這一份才是客戶真正會看到的報告。

Q2:客戶不能直接看第一份報告嗎?

其實可以。

但就如同去醫院照X光,照片出來了,但是沒有專業人員解說,一般人可能很難理解身體究竟出了什麼問題,更別說是治療了。

3.針對報告中要修復的內容雙方進行協商、報價

若您在收到報告後,對解法或報價有疑惑、感到不滿意,例如,想要將該高風險項目在更進步變得更穩固,或某些地方暫時不用修,都可以在此階段提出,與網頁設計公司協商、議價。

4.協商完成,開始修網站

協商完成,網頁設計公司在收到回簽的報價單後,即會開始安排工程師進行維修。

5.修完再掃,產出修正說明報告

維修完成後,會再進行一次弱掃,確認此次維修部分已完成,再出具此次修正說明報告供客戶留存。

知識二、弱掃的頻率

這個頻率沒有固定答案,但是會造成影響的因素有以下兩點:

1.依據法規

依據「資通安全管理法及子法」規定,公務機關與特定非公務機關的資通安全責任層級從A至E共分為五級,依據層級,弱掃需一至兩年進行乙次,配合其他資安相關措施,詳情可以點這邊看法規。

2.該公司對資安的重視程度

以夏木樂經驗而言,一般情況下,一個網站最少一年應進行一次弱掃,每年更新屏障,避免新型態駭客。我們也有遇過非常重視資安的客戶,要求必須每月或甚至每週進行弱掃。

知識三、弱掃與中病毒的關係

再以疫苗舉例一次,打完疫苗之後仍有染疫風險,弱掃僅能幫助你「加強防禦,降低風險」,但仍無法完全避免駭客的惡意攻擊。

Q3:既然弱掃無法完全避免攻擊,有什麼更有效的方式嗎?

還有一種資安測試方式,常常跟弱掃一起被提起——「滲透測試」。

相較半自動的弱點掃描,滲透測試的操作方式更為人工、複雜,以真人操作模擬駭客思維來攻擊網站,更直接、有效率的抓出網站的弱點,但因爲人工運行,無法大規模操作,較耗時也耗人力。

知識四、常用的弱掃工具

夏木樂最常使用的弱掃工具是「OWASP ZAP」。

OWASP是「Open Web Application Security Project」的縮寫,白話文就是開放網路軟體安全計畫,由Mark Curphey 2001年於美國創立,是為在網路安全領域,替大眾提供免費的文章、工具和技術等資源的非營利組織,其中,OWASP推出的弱掃工具ZAP,在世界各地也頗受歡迎,可以在OWASP官網免費下載,並有中文介面可以切換。

其他常見的工具還有SonarQube、PumaScan、Nessus、DVM等。

知識五、弱掃收費機制

如果請網頁設計公司協助弱掃,費用的收取方式會有兩種。

第一種、在網站建置簽約時

如果網站在建置時就明確有弱掃需求,那麼網頁設計公司就會在網站建置的合約中一併計算入弱掃費用。

第二種、單次收費

這種狀況大多出現在網站已建置完成,定期弱掃時,也就是知識一的五個步驟。

另外,如果客戶有指定使用的弱掃工具,是網頁設計公司沒有接觸過的付費工具,那就可能需要額外收取開通此工具的費用,具體細節因公司、工具而易,因此請以實際合約為準。

總結

很客戶會問:所有網站都需要弱掃嗎?

與政府部門相關的網站規定最嚴格,「必須」定期進行弱掃,除此之外的網站,就取決於網站主對於資安的重視程度了,可能一年、半年、一個月進行一次弱掃,

我們認為不論網站大小與內容,為了防止資安被破壞,為了守護網站的和平,都建議定期弱掃或進行其他資安檢測,來保護網站與造訪者的資訊安全喔!

以上文章,希望對你有所幫助,還沒有網站可以弱掃嗎?歡迎聯絡我們,夏木樂,品牌網頁設計專家,讓我們幫你,從網頁設計開始,提供最好的服務。

延伸閱讀

相關文章