【資安科普】為什麼網站要做弱點掃描?掃出來的結果是什麼?

#資訊安全

【資安科普】為什麼網站要做弱點掃描?掃出來的結果是什麼?

近年資安意識越來越高漲,不只是政府逐漸加強資安法規,一般企業也開始重視資安管理,例如漸漸普及的 2FA 認證,或者強化密碼難度等等。

目前,公家單位如學校、政府機關等,幾乎都要求建置的網站必須提供弱點掃描,而越來越多上市櫃公司則要求必須要有弱點與源碼掃描。今天,我們就來介紹一下弱點掃描,讓大家認識弱點掃描會做些什麼。

什麼是弱點掃描?

一般常見的網站弱點掃描,通常是指網站上線到正式主機後,藉由一些資安大廠所推出的弱點掃描軟體,對網站進行掃描。而所謂的弱點,其實是有備定義出來的,這些資安大廠或組織,每年都會推出一系列網站常見的弱點清單,例如 SQL Injection, XSS, CSRF 等等弱點與建議。於是弱點掃描軟體會依照這些列出的弱點,對網站進行掃描與分析,看看網站是否存在「可能」的漏洞。

為什麼說是「可能」呢?因為弱點其實不代表漏洞,他只是從外部測試網站,並且覺得網站有部分設定看起來不安全,便全部抓出來,要求工程師修正。這有點像是現實世界的消防法規,可能規定室內場所一定要備有逃生門、滅火器。如果你的場所缺乏這些安全設施,並不代表火災一定會發生,但稽查人員與消費者肯定會認為這是一個不安全的場所,而要求您改善,是類似的概念。

更詳細的介紹,可以看我們的弱掃介紹文章

弱點掃描的軟體

提供弱點掃描軟體的廠商也非常多,例如 OWASP Zap, Nessus, Grabber, AppScan 等等,根據不同的企業類型可能會採購不同的軟體。例如 OWASP ZAP 最普遍,簡單易用,受到大多數的企業歡迎,但是適合用於單次掃描。如果是大型資訊企業要在防火牆內對大量伺服器進行定期掃描,可能就會考慮 Nessus 或 AppScan 之類的軟體。

受到普遍企業歡迎的 ZAP 掃描軟體

受到普遍企業歡迎的 ZAP 掃描軟體

掃描的頻率

常見的掃描頻率有以下幾種:

  1. 首次上線時掃描一次

  2. 每次更新版本時掃描一次

  3. 每季掃描一次

  4. 每年掃描一次

  5. 不定期掃描

根據不同的組織單位與規定,就會有不同的掃描頻率。以常見的形象官網來說,通常只會要求首次上線掃描,之後就不會再有大更新了。

而較為嚴謹的單位(例如銀行),可能會是每次更新版本時就要掃一次。

至於某些擁有大量網站的公家單位,可能會設定每季或每年都有一檔資安稽核,因此就會要求每季或每年必須掃過一次。而例如學校等單位,因為資安要求不算非常高,但是系所數量又多,就有可能是每年抽籤突襲稽核,有被抽到就要執行掃描。

另外也可參考「資通安全管理法及子法」規定,公務機關與特定非公務機關的資通安全責任層級從A至E共分為五級,依據層級,弱掃需一至兩年進行乙次,配合其他資安相關措施,詳情可以點這邊看法規。

Nessus 是大型企業愛用的軟體之一,可以針對大量主機定期掃描

就算沒更新也要重複掃嗎?

前面提到,可能會有每年或每季掃描的狀況。但一個網站如果沒有更新,重複掃描會有不同的結果嗎?這是有可能的,因為掃描軟體會定期更新,並且採用資安大廠定期公布的弱點清單,因此有可能今年掃玩沒有弱點,但明年掃完就出現改善建議之類的。

舉例來說,過去幾年可能 CSP Header 或 Same-Site Cookie 不算在弱點檢查清單內,但可能這幾年被列入到弱點清單中,因此很多沒有設定好 CSP 或 Same-Site Cookie 的網站,就會收到警告要求改善。

也有些單位,可能長年沒有掃描,等到被上級單位稽核時,一掃下來原本以為很安全的網站,累積了大大小小 10 幾條風險,再請網站公司修正時,費用就變得非常高。因此,對於網站廠商與客戶來說,應該要把弱點掃描當成是一個每年定期依照公告政策持續改進網站的過程,才能讓網站持續成長並保持最高的安全。

掃描出來的報告,會有什麼內容?

掃描完成後,通常軟體會輸出一份報告,可能有 PDF 或 HTML 格式。而掃出來的弱點,通常會包含以下幾種風險等級:

  1. 高風險:通常被視為真正的漏洞或弱點,是一定要修正的

  2. 中風險:偏警告或建議內容,不算是漏洞,但是有做了會更好

  3. 低風險:純粹依照最新的資安建議的調整,可選項目,但不算是漏洞。

其中高風險是一定要修正的,專業的廠商應該會把所有高風險都移除掉。中風險比較有討論空間,一般普遍不會認為中風險是漏洞,而且如果修復所有中風險,有可能網站會嚴格到不能正常使用(例如不可嵌入 Youtube,或是要建立嵌入白名單之類的)。而公家單位因為要避免風險責任,通常會要求要把中風險也移除。至於低風險,普遍認為是不需要處理的,因為低風險單純是將各種網站程式的建議都列出來,可能根本不適用當下的網站。

有時候一個風險掃出來可能會有成千上百,不需要特別緊張,因為一項風險可能會把所有的網站頁面都分開列出來,所以只要修掉後,這成千上百的報告項目都會消失。

一個範例的弱掃報告,這份只剩下低風險

誤報

就像快篩會有 False Positive (偽陽)一樣,弱掃出現誤報的機率也很高。一般來說廠商判斷是誤報時,會寫報告書說明誤報的原因,以及描述為什麼不需處理。再由客戶的 IT 簽結保存。

具體而言,風險的修正等級,以及誤報後說明與否,還是要由客戶與網站廠商雙方在簽約時談清楚,以避免事後對於風險的解釋與修正範圍的認知不一致。

結論:網站資安,是一個持續的過程

網站的資安管理,是一個持續進行的過程。就想像成是消防管理一樣,需要定期舉辦消防講習、年年更新設備、隨時稽查檢核消防空間是否暢通等等。網站的資安也是需要由業主這邊進行定期的檢查與更新,才能確保消費者的資訊安全。網站廠商在這其中能夠提供的,就是專業的建議,以及技術上的支持。

如果您對於自己的企業網站是否需要定期弱掃感到有疑問的話,歡迎聯繫夏木樂,我們會提供您專業的經驗分享。

相關文章