低價搶標的慘烈現況 一分錢一分貨 如今,越來越少的PT案是單獨存在,多半含在SOC專案裡,並且以低價標為取決主要原因。但是目前很多SOC專案含PT是為了補足防禦上的漏洞,但在沒有好的規劃下就會無法得到好的成效。陳宏昌認為,在這種類型的專案當中,PT執行的範圍變得超大,反而容易變得無法兼顧深度與廣度,應該要有取捨。此外,SOC案中含PT也有人質疑球員兼裁判的問題,但這都要視乎SOC廠商是否可以將內部執行人員的權責劃分。一些較為嚴謹的銀行,多半會將滲透測試與SOC業務分包給兩家不同的廠商,並不會混在一起。在諸多因素影響下,必須針對個別網站的狀況去訂出所謂的服務價格,這也是相當客製化的部分,目前市場上的行情,以人/天算法,從數千元到數萬元都有,好永遠都可以更好,只是視乎企業願意付出多少、去做到什麼程度。 最近聽到一個比較極端的案例,提供讀者參考。某企業的檢測範圍為2個URL,經過評估,該網址下有48個子系統,得標金額為5萬元新台幣,算下來平均檢測一個系統約一千元,又需在短時間內完成,這是一個較具經驗的小承包商也不願意承接的案例,不僅根本沒有時間去做各項測試,例如假冒sesion或是更改cookie,是否可以完整的做完所有國際檢測標準也是問題,承接下來的個人工作室大概也只是用免費工具掃一掃就交差了事。這種根本無法負擔人力成本的案例,可以說是一個典型PT變VA了事的例子。而這樣很有可能違反合約而具有法律問題。 小規模分階段細作 勿囫圇吞棗
但有些小公司的生意做很大,網站上擁有很多個資,雖然資安威脅並不少,若資料外洩造成的損失也可能很大,所以其實資安服務需求是一樣多,但卻花不起錢作資安。企業有預算上的考量,卻不想只是單純的進行弱點掃描,希望可以進行夠品質的滲透測試,該如何分配預算以及規劃?可以先從重點小範圍仔細的作,再分期分段逐步擴展。
曾信田表示,通常對於第一次執行的客戶,會建議在首次PT的目標規劃中,朝兩方面進行,一是先選定重要小規模仔細作,例如外網可以直接被人存取的服務,如網站系統或E-mail服務,這是最快找出駭客可能由外部入侵的途徑,之二則是內部機敏系統,如ERP或公文系統,這則是能夠評估內部風險方法,了解不肖員工或駭客從內部發動攻擊時的威脅有多大。此後可按照計劃逐步拉大測試範疇,以找出更多潛在的問題。
而不同產業,自然也有不同的重點。過去做PT的產業多為政府、金融,有法規稽核遵循的要求,後者著重於測試特殊的封閉式應用程式,在製造業,重點放在內控,較多內部滲透測試,如今,有PT需求的企業更多,還包括線上交易產業,主要是針對外部入侵作測試。 結論 近來聽到許多過去從事專業PT服務的廠商,紛紛表示PT這個市場已經崩壞,在劣幣驅逐良幣之下,大家也紛紛轉而從事其他服務,這是相當令人感到遺憾的事。這兩三年來,PT產業服務品質明顯惡化,大家意識到網站安全的重要性但卻不了解其背後所需要的專業價值為何,無論是政府或民間企業,大多以低價標取決,亦有不少非專業PT服務廠商投入市場,宣稱都具有安全檢測服務,然而卻只是利用滲透測試服務之名,行弱點掃描之實,這也混淆了市場價值。事實上,具有一定品質的PT必定耗去不少人力,在低價標的惡性循環之下,有些廠商也只好將就市場現況,將PT服務當作搭配的服務,對有代理資安產品的整合商而言,就可以用低價換取為後續的資安產品與長期維護、強化合約,如果沒有這樣的附加價值,資安廠商甚至也不太願意將人力投入這個投資報酬率低的市場,恐怕最後剩下的也只是些用工具掃描就交報告了事的偽PT廠商,失去最初的安全檢測意義。 在這裡也呼籲大家,不要只做一次性的PT,滲透測試就像健康檢查一樣,應該花時間找最了解你的家醫,他不一定要是名醫(可能沒有時間照顧你),但他必定得要最了解你的體質,對什麼過敏?哪裡最脆弱?有什麼方面的限制?能夠長時間的觀察照顧企業體質,才能有效的維護、強化資安。 註:除了CEH之外,目前針對滲透測試技術的專業技能證照尚有GIAC的網頁應用程式滲透測試證照(GWAPT,GIAC Web Application Penetration Tester)
|