滲透測試是什麼?(Penetration Testing / Pentest)
滲透測試(Penetration Testing, Pentest) 是由專業資安測試人員,在合法授權範圍內,以真實駭客的攻擊手法模擬入侵企業系統,找出可被實際利用的高風險漏洞,並評估這些漏洞一旦遭到攻擊,將對企業營運、資料機密性與系統可用性造成的實際影響。
滲透測試與弱點掃描(Vulnerability Scanning)最大的差異在於:
弱點掃描只列出可能存在的漏洞,而滲透測試會實際驗證漏洞是否真的能被攻破。
滲透測試的核心價值
滲透測試的重點不在於漏洞數量,而在於風險真實性:
-驗證漏洞是否「真的能被入侵」
-重建完整攻擊鏈(Kill Chain / Attack Path)
-評估駭客能取得的權限、資料與系統控制能力
-量化企業在真實攻擊情境下的營運衝擊風險
因此,滲透測試不是找漏洞,而是驗證企業面對真實攻擊時的存活能力。
不同於弱點掃描,滲透測試必須以【人工 + 工具】的方式,實際嘗試入侵系統。
國際主流滲透測試流程
全球多數滲透測試專案皆遵循以下標準流程:
-測試範圍與授權確認(Scoping & Authorization)
-資訊蒐集(Reconnaissance / OSINT)
-威脅建模與攻擊面分析(Threat Modeling)
-弱點分析(Vulnerability Analysis)
-實際利用與權限提升(Exploitation & Privilege Escalation)
-橫向移動與資料存取驗證(Lateral Movement)
-成果驗證與報告(Reporting & Remediation Advice)
全球最具公信力的滲透測試國際標準
-PTES – Penetration Testing Execution Standard
定義完整七大滲透測試階段,是實務界最廣泛採用的標準框架。
-NIST SP 800-115 – Technical Guide to Information Security Testing and Assessment
美國政府與金融機構指定標準,明確區分測試、驗證與安全評估方法。
-OSSTMM 3 – Open Source Security Testing Methodology Manual
強調可量化安全指標,著重於通訊、信任邊界與作業層級風險。
-OWASP Web Security Testing Guide (WSTG)
Web 應用程式滲透測試最權威指南,涵蓋認證、存取控制、邏輯漏洞等測項。
-CREST Penetration Testing Guide
英國金融業與大型企業指定顧問資格標準,規範測試品質與倫理原則。
為何必須定期執行滲透測試?
企業、組織的環境持續變動,只要發生以下情境,即應重新執行滲透測試:
-系統重大改版或新功能上線
-導入 API、雲端服務或第三方系統
-發生資安事件或內部流程異動
-法規、稽核或監理機構要求
-定期滲透測試,是企業從「被動修補漏洞」走向「主動防禦」的關鍵一步,因為如此即可在駭客破解前,先進行漏洞修正。
