曾信田表示,通常對於第一次執行的客戶,會建議在首次PT的目標規劃中,朝兩方面進行,一是先選定重要小規模仔細作,例如外網可以直接被人存取的服務,如網站系統或E-mail服務,這是最快找出駭客可能由外部入侵的途徑,之二則是內部機敏系統,如ERP或公文系統,這則是能夠評估內部風險方法,了解不肖員工或駭客從內部發動攻擊時的威脅有多大。此後可按照計劃逐步拉大測試範疇,以找出更多潛在的問題。
而不同產業,自然也有不同的重點。過去做PT的產業多為政府、金融,有法規稽核遵循的要求,後者著重於測試特殊的封閉式應用程式,在製造業,重點放在內控,較多內部滲透測試,如今,有PT需求的企業更多,還包括線上交易產業,主要是針對外部入侵作測試。
結論
近來聽到許多過去從事專業PT服務的廠商,紛紛表示PT這個市場已經崩壞,在劣幣驅逐良幣之下,大家也紛紛轉而從事其他服務,這是相當令人感到遺憾的事。這兩三年來,PT產業服務品質明顯惡化,大家意識到網站安全的重要性但卻不了解其背後所需要的專業價值為何,無論是政府或民間企業,大多以低價標取決,亦有不少非專業PT服務廠商投入市場,宣稱都具有安全檢測服務,然而卻只是利用滲透測試服務之名,行弱點掃描之實,這也混淆了市場價值。事實上,具有一定品質的PT必定耗去不少人力,在低價標的惡性循環之下,有些廠商也只好將就市場現況,將PT服務當作搭配的服務,對有代理資安產品的整合商而言,就可以用低價換取為後續的資安產品與長期維護、強化合約,如果沒有這樣的附加價值,資安廠商甚至也不太願意將人力投入這個投資報酬率低的市場,恐怕最後剩下的也只是些用工具掃描就交報告了事的偽PT廠商,失去最初的安全檢測意義。
在這裡也呼籲大家,不要只做一次性的PT,滲透測試就像健康檢查一樣,應該花時間找最了解你的家醫,他不一定要是名醫(可能沒有時間照顧你),但他必定得要最了解你的體質,對什麼過敏?哪裡最脆弱?有什麼方面的限制?能夠長時間的觀察照顧企業體質,才能有效的維護、強化資安。
註:除了CEH之外,目前針對滲透測試技術的專業技能證照尚有GIAC的網頁應用程式滲透測試證照(GWAPT,GIAC Web Application Penetration Tester)