關於系統弱掃 ?
結 論:
結 論:
1. 自建主機/服務/系統正式上線前,請記得先進行【主機/網站弱掃】,確定無中/高風險後再上線。
1. 自建主機/服務/系統正式上線前,請記得先進行【主機/網站弱掃】,確定無中/高風險後再上線。
2. 有主機弱掃需求,建議可使用【Nessus® Essentials】or【Greenbone OpenVAS】。
2. 有主機弱掃需求,建議可使用【Nessus® Essentials】or【Greenbone OpenVAS】。
3. 有網站弱掃需求,建議可使用【OWASP ZAP】
3. 有網站弱掃需求,建議可使用【OWASP ZAP】
相關主題:
Q: 自建資訊/通訊系統、網站弱點問題 ?
Q: 自建資訊/通訊系統、網站弱點問題 ?
A: 因為是自建系統,因此系統在正式上線/使用前,強烈建議需要事先進行系統弱點掃描,修正所有高/中等級弱點後,再正式提供服務,避免上線後發生資安事件。( 因無協力廠商支援需要自行處理,因此事前多做一點,後續問題、承擔風險會少一點 )
A: 因為是自建系統,因此系統在正式上線/使用前,強烈建議需要事先進行系統弱點掃描,修正所有高/中等級弱點後,再正式提供服務,避免上線後發生資安事件。( 因無協力廠商支援需要自行處理,因此事前多做一點,後續問題、承擔風險會少一點 )
但若系統/服務/主機是由協力廠商協助建置,在上線前可向廠商要求提供弱點掃描報告,修正所有高/中等級弱點後,再提供服務。( 若需協力廠商提供弱掃服務與問題修正,建議採購/招標前,須事先與協力廠商議定,以免後續衍生糾紛 )
但若系統/服務/主機是由協力廠商協助建置,在上線前可向廠商要求提供弱點掃描報告,修正所有高/中等級弱點後,再提供服務。( 若需協力廠商提供弱掃服務與問題修正,建議採購/招標前,須事先與協力廠商議定,以免後續衍生糾紛 )
Q: 何謂系統弱掃 ?
Q: 何謂系統弱掃 ?
A: 我們一般統稱系統弱掃,但可再細分為【主機弱掃】、【網站弱掃】。
A: 我們一般統稱系統弱掃,但可再細分為【主機弱掃】、【網站弱掃】。
主機弱掃:主要是針對服務主機的弱點掃描,也可以看成是對系統/服務主機上OS層的弱點掃描。
主機弱掃:主要是針對服務主機的弱點掃描,也可以看成是對系統/服務主機上OS層的弱點掃描。
網站弱掃:現行各式對外服務,大多已網站呈現,因此網站的各式程式、邏輯、元件庫弱點,需要專用程式來針對性掃描。
網站弱掃:現行各式對外服務,大多已網站呈現,因此網站的各式程式、邏輯、元件庫弱點,需要專用程式來針對性掃描。
Q: 要如何進行弱掃 ?
Q: 要如何進行弱掃 ?
A: 若要自行進行弱點掃描,我們建議可採用下述常見之免費軟體
A: 若要自行進行弱點掃描,我們建議可採用下述常見之免費軟體
【主機弱掃】:
【主機弱掃】:
- Nessus® Essentials : 業界常用軟體,報告具公信力,但最多僅可掃描16個IP,對於小單位範圍內足供使用。
- Greenbone OpenVAS:免費主機弱掃中最常見,建構在 Linux 主機,有安裝門檻,產出之報告足供參考,但畢竟是免費的,弱點資料庫不會是最新版。
【網頁弱掃】:
【網頁弱掃】:
- OWASP Zed Attcak Proxy (ZAP):免費網站弱掃中常見,產出之報告足供參考,但畢竟是免費的,弱點資料庫不會是最新版。
- 其它:若因計畫或專案所需,需要免費版以外更具公信力的掃描報告,可與本中心聯繫,了解個案狀況後可提供進一步建議。