Vulnerability Assessment - Sky

Hacking => 原本訂立的規則,突破&繞過它

*forensic:事件鑑識 台灣沒有法律強制力,因此不盛行

 

工具下載:

Kali Linux(滲透測試用的 Linux 發行版本) => https://www.kali.org/downloads/

Metasploitable2(測試和演示常見漏洞攻擊) => http://goo.gl/8kb5jr

Nessus(弱點檢測) => http://goo.gl/I5akSs

 

資安?如何保護資安?

定期服務和掃描 => 一年弱點掃描4次(每季),滲透測試1次

資安顧問3類

  1. 資安研究員Security Researcher(找出弱點漏洞)
  2. 資安稽核員Security Auditor(根據規定稽核,使其符合法規 例:ISO,PCI DSS安全稽核)
    NIST、ISO、PCI稽核
    PCI第二章提到,不使用預設密碼
  3. 資安分析員Security Analyst(提供準確資料分析事件)

各自對於weak password(弱密碼)提出的解決方案/報告:

類別

解決方案/報告

合在一起後

資安研究員

A. 密碼14個字元以上,其中要包含大小寫、數字和符號。PCI DSS:7個字元(含)以上
B. 不能使用字典檔
C. 線上有效期30天 PCI DSS:最多90天
不能和前五次密碼一樣 PCI DSS:3次

交給便利貼 => 不安全

安全 <- 平衡 -> 便利

資安稽核員

A. 使用token當第二階段認證
B. 適用生物辨識當第三階段認證
C. 每天產生系統login report,每周審計它
D. 增加RADIUS / LDAP 讓認證更複雜

 

A:token必買或自建
B:生物辨識,買!
C、D:耗費人力

事情變很多!!!

資安分析員

A. 認證流程有問題85%客戶資料洩漏
B. 存在DB的密碼是使用明碼
C. 員工沒資安意識,沒在規定90天更改密碼
D. CSO和CTO需要執行20個專案強化

打搶多個部門

需要平均,不要其中一個特別出色

*木桶理論:能夠儲存的水量是取決於最短木頭

=>任何東西都需要平衡

 

 

 

VA(Vulnerability Assessment)和PT(Penetration Testing)

VA:弱點掃描//以檢查骨折為例

Basic:使用工具(Nmap、Nessus)找到unpatched software、weak authentication、misconfiguration //給x光片,病人自己看

Advance:加上人工檢測有無誤判 //醫生看X光片,確認骨頭狀況

PT:滲透測試,直接去利用已知漏洞(exploit) //醫生直接對骨頭按壓

 

VA:網路掃描 評估弱點並分類

Banner Grabbing:根據顯示一些資訊嘗試取得遠端主機的回應

Nessus:分析封包產生報告

PT:模擬一個真實環境去破解

可以找到邏輯上的弱點,但無法找到每一個弱點

有限的時間,無限的駭客!

如果3天測300萬筆沒解開表示:密碼強度可以抵擋3天,但不保證3天以上不會被破解,因為已經拿到hash。 最好定期換密碼

OWASP提供十大弱點:網頁、手機(走網路老路)、IOT

 

VA

PT

自動化檢測

少人力

快速

不能解決有邏輯缺陷的弱點與錯誤

結果:程式碼

手動評估

人工

時間夠則可拿到權限

耗時且依賴經驗

可做垂直或水平入侵

結果:頁面

沒有客戶同意不要隨便exploit!