中小企唔使做滲透測試?資訊保安專家:幾千蚊嘅基本測試 救得返你 50 萬嘅生意
「滲透測試?我間公司得幾個人,邊有咁多人嚟 hack 我?」 上個月,呢句話出自新蒲崗一間做禮品訂製嘅老闆阿 Tom 口中。今個月,佢唔再講呢句話。 點解?因為佢公司個網站俾人「放咗後門」,成個客戶資料庫被拖走,仲要收到勒索電郵:「俾三個比特幣,唔係就公開你啲客嘅電話地址。」Tom 走嚟問我:「我哋乜嘢保安都冇做過咩?我個網站用 Wix 整㗎,Wix 唔係包咗保安㗎咩?」 我話:「你間舖有冇裝閘?有。但有冇諗過,個賊可能唔係爆門,而係爬窗?」滲透測試,就係幫你搵返邊隻窗冇鎖好。今日同你拆解:點解幾千蚊嘅基本測試,可能係你公司最抵嘅投資。 一、首先,到底咩係「滲透測試」? 先搞清楚一個成日撈亂嘅概念:漏洞掃描 (Vulnerability Scanning) 與 滲透測試 (Penetration Test)。 比較項目 漏洞掃描 滲透測試 形象比喻 用儀器 check 你間屋有幾多度門 真係搵個人試下點樣入到你間屋 操作方式 自動化軟件 run 一次,出份報告話你知邊度有漏洞 真人黑客模擬攻擊,試下「有漏洞嘅地方,到底入唔入到」 最終結果 「你度門鎖有問題」 「你度門鎖有問題,我用一張八達通 3 秒就開到,仲入咗去攞咗你本數簿」 簡單講:漏洞掃描係「話你知有問題」,滲透測試係「話你知個問題有幾大鑊」。中小企成日做嘅,多數只係前者,甚至乜都冇做。 二、真實案例:幾千蚊嘅測試,點樣救返 $50 萬生意 荃灣一間做食品批發嘅公司,有個官網可以俾客人落單。老闆一直覺得:「我個網係搵 freelancer 寫嘅,用咗幾年都冇事,應該安全掛?」後來經朋友介紹,搵人做咗一次基本滲透測試,盛惠 $8,000。 你估吓發現咩? 測試員同佢講:「如果呢啲資料漏咗出去,單係私隱條例嘅罰款同聲譽損失,已經可以超過 $50 萬。」老闆當場面青唇白。 即晚,佢哋用兩小時改咗密碼、加咗登入限制同 IP 限制。總成本:$8,000。如果冇做測試,後果不堪設想。 三、中小企最常見嘅「三大保安錯覺」 四、專家建議:中小企應該點做滲透測試?…
