RayAegis Information Security

RayAegis Information Security

光盾-頂尖資訊安全團隊

AI縱深防禦、資訊安全專家

Defense in Depth

光盾協助客戶深度防禦

有效防止各式網路威脅

光盾資訊科技的願景為利用世界頂尖的技術,為資訊安全盡一分心力。我們以全面的角度來整合科技、人,以及管理流程,使得公司的文件能達到保密、完整,以及隨時可以取得的特性。我們也不斷發展最先進的系統,為公司的網站、應用程式、資料庫,以及其他系統提供最有效率、安全的資訊安全檢測暨修補服務。我們開發的RayScanner和RayInvader即採用和美國政府同步的資料庫,確認您的網站和應用程式有無被入侵的可能(包含零時差問題等未知漏洞)、是否符合最嚴格的國際規範。檢測相關訊息請點弱點掃描服務及滲透測試、APT解決方案請點這裡。光盾的客戶遍及政府、金融、教育、醫療、各類大型企業,我們除了偵測深度弱點,亦有豐富協助客戶規劃網路系統架構、進行機房實體防護、客製化資安服務、執行電腦鑑識等等經驗。

因為完整的資訊安全須結合管理層面,我們亦留意最新資訊發展,為公司或組織建構適宜之資訊安全政策,使公司或組織能夠全方位保護敏感資訊。

隨著科技愈來愈進步,駭客愈來愈輕易擁有強大的程式來破壞系統或竊取資料。我們除了幫您改善系統的漏洞,也幫您作更完善的規劃與建議,使您的系統在深度防禦的概念中,得到最可靠的保障。畢竟,一個系統的安全度只等同於其中最弱的環節,因此每一個小細節都是防護的關鍵!

交由最專業的資安顧問團隊處理,您將可以專心發展公司的核心業務,而不用再擔心資訊安全的問題!

內網滲透測試(Internal Penetration Testing)
愈來愈多企業的敏感資訊被駭並放到暗網上販賣、商業機密被競爭對手取得。許多人都有一買完網路商店就接到詐騙電話的不良經驗。這些都很可能是駭客所為。根據CVE統計報告,已發佈的漏洞數目,呈現愈來愈多的趨勢:...
Read More "內網滲透測試(Internal Penetration Testing)"

惡意程式防護有效性測試

愈來愈多公司、組織遭受各類型病毒威脅。相關案例不勝枚舉。 光盾藉由大量布署之Honeypots,不斷收集最新駭客情資,含攻擊手法、相關行為、感染途徑,再利用模擬方法,撰寫虛擬惡意程式。用這個方法,光盾以安全、可管控的方式,為客戶確認: 1. 防護系統是否能偵測各類意程式攻擊(例如:硬碟加密、竊取敏感資訊、鍵盤側錄、任意指令執行等) 2. 內部敏感資訊是否會因為各式不同的手法(例如:HTTP-GET、HTTP-POST、SSH、FTP等),而被駭客或內部人員傳送出去 3. 惡意程式是否可能在內網擴散 藉由此檢測,客戶可以利用安全、可控的方式驗證:   -敏感資訊的保護是否足夠 -防護設備是否運行正確 -資安政策是否落實,並使用最小權限原則 -測試敏感資訊是否可由內網傳出 -攻擊者是否能利用受測機當跳板,攻擊內網其他系統

內網滲透測試(Internal Penetration Testing)

愈來愈多企業的敏感資訊被駭並放到暗網上販賣、商業機密被競爭對手取得。許多人都有一買完網路商店就接到詐騙電話的不良經驗。這些都很可能是駭客所為。根據CVE統計報告,已發佈的漏洞數目,呈現愈來愈多的趨勢: 然而,內部系統的安全性往往是企業較易疏忽的一環。駭客可能使用以下方法取得內網權限:社交工程、無線網路、VPN(Virtual Private Network)感染、病毒傳播、外部滲透內網再由內網滲透等等。更有甚者,內部不肖員工可能利用系統的漏洞,竊取公司、其他同仁或上級的敏感資訊。過去曾爆發國內警察機關因為員警使用P2P軟體,導致報案記錄和筆錄檔案透過續傳分享而外洩(https://www.ithome.com.tw/news/43060);日本發生過P2P軟體Winny,大量洩漏重要軍事情報以及個人稅籍、病歷、交易資料等重大資安事件(https://www.ithome.com.tw/news/35963);美國政府發生個資外洩事件,被竊資料包括聯邦政府雇員、軍人、情報人員、政府包商,影響超過2200萬人(https://www.cw.com.tw/article/5124929)。相關案例多不勝數。 基於其所造成的影響度和普及性,內網的檢測是必要且勢在必行的,而做滲透測試時應考量已取得內網權限的狀況。其中一項目的,是確認攻擊者是否能在內網取得敏感資訊,並將相關資訊利用各種方式傳出去(例如: HTTP、FTP、SSH, etc.)。 光盾已為無數各國金融、大型企業、製造業進行此類檢測,並發現絕大多數企業並沒有有效防止此類問題。滲透測試採取駭客的角度,檢驗網路服務系統的安全防護措施是否有效、各項安全政策是否貫徹落實,另一方面可以讓潛在的安全風險以真實事件的方式突顯出來,而有助於提高相關人員的資安水平。在測試結束後,可立即進行安全防護修補作業,徹底解決安全防護的問題,以有效防止真實資安事件發生。資安防護是刻不容緩的,隨著國內外個資觀念的強化與落實,一旦發生資安事件,所造成的損失遠遠超過防護成本,更甚者無形的商譽損失將難以彌補。 回到光盾滲透測試介紹。

弱點掃描(Vulnerability Scanning)

弱點掃描 弱點掃描(Vulnerability Scanning)是一種自動化的安全測試方法,旨在識別系統、主機、網絡或應用程式中的安全漏洞。這種測試技術使用自動化工具來定期檢查目標系統,以尋找可能被攻擊者利用的弱點或漏洞。 光盾使用自行開發的工具-RayScanner,結合常用工具(如:商業版Nessus及商業版Burpsuite)為您做遠端或內部弱點掃描服務,並藉此協助您改善系統安全的問題。在問題改善後,您的網路應用程式、資料庫,以及路由器將可在資安專家的協助下符合以下國際資訊安全規範: 1. CERT 2. PCI 3. NSA 4. NIST SCAP FDCC 5. HIPAA 6. CIS 7. GLBA 8. DISA STIGs 常見弱點掃描檢測出的漏洞包含資料隱碼(SQL Injection)、跨站腳本(XSS)、不安全資安設置、系統版本過於老舊、預設帳密等等可造成嚴重個資外洩的問題。 RayScanner包含數萬個不同的檢測子程式,並即時與美國政府單位使用的資料庫、光盾自行研發的資料庫同步,為客戶提供最完整的檢測報告。依客戶的不同需求,光盾亦可提供其他商業版知名軟體弱點掃描結果,供客戶參考。 由擁有CISSP、CEH、CISM、CPENT、LPT等等國際證照之資安專家執行弱點掃描之後,光盾除了協助您改善漏洞,也幫您作更完善的規劃與建議,使您的系統在深度防禦的概念下得到最可靠的保障。光盾已為無數的政府單位、銀行、大型企業執行弱點掃描,除可以最大程度檢測出問題,更可保障客戶系統和資料的安全性,不至於因為檢測而遭受破壞。

光盾資訊檢測實驗室-公正性承諾聲明書

本實驗室以遵守國家法律、法規為基準,嚴格執行品質系統中各項規章及品質文件之內容,在ISO/IEC 17025:2017已認證之範圍內進行檢測作業。 本實驗室全體人員承諾,對所有檢測作業及結果之數據公正性、保密性負責,不與任何其他利益相關,確保檢測結果不受商業、財務或其他第三方壓力危害其公正性及真實性,以維護客戶之權益。 本實驗室將持續進行公正性風險之鑑別,包含實驗室活動、實驗室關係及各人員之關係,將風險進行消除或減至最低。 本實驗室要求全體人員公正獨立,不參與任何損害檢測獨立性及誠信度之活動,不做假數據、不受上級或其他任何第三方之利益脅迫及關說,秉持實事求是之精神,並對所有檢測結果之數據負責。 本實驗室人員嚴格遵守保密協定,不透露客戶相關技術、資料、數據及其他任何商業機密。 實驗室全體員工嚴格遵守品質手冊及程序文件,堅持公平、公正及公開,嚴禁利用自身職權謀取利益。

資安健診

服務簡介 資安健診服務是透過整合各項資訊安全項目的檢視服務作業,提供資安改善建議,藉以實施技術面控制措施,以提升網路、資訊系統及個人電腦安全防護能力。 服務範圍包括網路架構檢視、網路惡意活動檢視、使用者端電腦檢視、伺服器主機檢視及安全設定檢視等資安專業服務。 檢測項目說明 一、網路活動檢視 封包監聽與分析: 針對有線網路適當位置架設側錄設備,觀察是否有異常連線或DNS 查詢,並比對是否連線已知 惡意 IP、中繼站(Command and Control,C&C)或有符合惡意網路行為的特徵封包側錄至少以24小時為原則,以觀察是否有異常連線。 網路設備/資安設備紀錄檔分析: 檢視防火牆、入侵偵測防護系統等網路設備紀錄檔,分析過濾異常連線紀錄 網路設備紀錄檔分析以 1 個月的紀錄為原則。 二、網路設備、伺服器及端末設備等設備檢測 伺服器及終端機惡意程式檢測 使用者端電腦 使用者電腦惡意程式或檔案檢視。 使用者電腦是否存在惡意程式或檔案檢視。 檢視項目包含活動中與潛藏惡意程式、駭客工具程式。 系統服務運作權限檢測。 開機自動執行程序檢測。 工作排程內容執行程序檢測。 DNS連線紀錄與埠口連線檢測。 主機帳號與權限內容檢視。 環境變數內容檢視。 伺服器主機 伺服器惡意程式或檔案檢視。 針對伺服器主機進行是否存在惡意程式或檔案檢視。 檢視項目包含活動中與潛藏惡意程式、駭客工具程式。 系統服務運作權限檢測。 開機自動執行程序檢測。 工作排程內容執行程序檢測。 DNS連線紀錄與埠口連線檢測。 主機帳號與權限內容檢視。 環境變數內容檢視。 ATM主機 ATM主機惡意程式或檔案檢視。 ATM主機是否存在惡意程式或檔案檢視。 檢視項目包含活動中與潛藏惡意程式、駭客工具程式。 系統服務運作權限檢測。 開機自動執行程序檢測。 工作排程內容執行程序檢測。 DNS連線紀錄與埠口連線檢測。 主機帳號與權限內容檢視。 環境變數內容檢視。 三、安全設定檢視 …

政府採購專區

光盾擁有豐富為政府單位執行資安專案之經驗,可以同等規格為客戶執行資訊安全檢測服務, 包含: 滲透測試、弱點掃描、資安健診、社交工程郵件測試等等(均由擁有CISSP、CEH、CISM、CPENT、LPT等等證照、接受美國頂尖資安訓練之專業資訊安全專家執行)。

網路搜尋引擎最佳化(SEO)

網際網路自1990年代中期快速發展,並已應用於世界各個角落、各個領域。如今,大家已習慣利用網際網路來搜尋資料、買票購物等等。隨著網路的發展,越來越多人進入網路這塊市場,網路上能搜尋的資料量越來越多,衍生而來的問題就是資訊的能見度。舉例來說:”當一個人要在網路上買筆記型電腦,他會直接在搜尋引擎上輸入關鍵字,接著自然而然地進入搜尋結果第一名的網站。我們可以看到,範例搜尋第一名是百思買(www.bestbuy.com),而使用者隨即開始涉獵標的(圖一)”。這樣的行為造成搜尋引擎排名的競爭激烈,人人都想讓自己的網站有最佳的能見度,而根據Optify研究顯示,排名第一的點擊率(36.4%)是第二名(12.5%)的三倍之多(圖二),進一步分析,搜尋結果前十名的平均點擊率8.9%與十至二十名的平均點擊率1.5%相比,第一頁的平均點擊率是第二頁的六倍,表示網頁搜尋結果排名在第一頁之後的位置,已幾乎乏人問津…。  因此,什麼因素決定排序?有什麼方法可以提升能見度?成了許多人非常感興趣的話題。  圖一 圖二網路搜尋引擎最佳化就是所謂的SEO (Search Engine Optimization)。經過SEO服務的網站可以在搜尋引擎中獲得極佳的排名次序,將使您的產品或服務輕易地被找到,因而發掘更多潛在的重要客戶。藉由全球搜尋引擎所帶來的曝光量,將快速提升公司或網站的知名度、在市場上比對手更快取得先機、有效率地擴展公司業務。搜尋引擎最佳化更重要的意義,在於為使用者打造最佳的使用體驗,讓網站最完美的一面,呈現在使用者/消費者眼前。  SEO搜尋引擎最佳化雖然目前還不是個很明朗的學問,因為大多數搜尋引擎對於如何評等網頁的演算法保持最高機密,且隨著搜尋引擎的演算規則改變,SEO技術也會跟著調整。儘管搜尋引擎演算法的各項因素和因素所佔權重可能不斷地在改變,但對於網站開發與經營,光盾整理出以下幾點實做SEO的方向與原則仍是不變的:   改善網站架構 1.標題 標題內容一般出現在搜尋結果的第一行。如果標題文字出現在使用者的搜尋查詢中將以粗體標示,這將有助於網站被需要的使用者或消費者快速正確地找到。網站的首頁標題可以列出公司或網站名稱,還可以包括網站涉及的領域或提供的服務等等重要資訊。請使用: 簡短且準確的網頁標題 為每個網頁都建立獨特有意義的網頁標題,避免[未命名]或[新網頁]這類的預設標題或無意義的網頁標題 2.摘要 網頁中繼標記將提供搜尋引擎關於該網頁的摘要,也就是向使用者概括介紹您的網頁內容。當摘要中的文字出現在使用者的查詢字中,搜尋引擎將會以粗體顯示搜尋結果,這亦將有助於網站被需要的使用者或消費者快速正確地找到。 3.網址 清楚易懂的URL命名有助於搜尋引擎檢索該網頁,可以提供使用者更明確的訊息。應避免網址顯示難以辨別的字母、數字或參數,而網站的網址結構應該儘可能簡單,且以有邏輯的方式來架構讓人容易理解的網址。這些對於使用者或搜尋引擎都是正向的效果。請注意: 網址避免難以辨別的參數,使用有意義的單字 目錄架構簡單清楚 4.導覽 建議使用「階層連結清單」導覽讓使用者方便快速地在網站內找到所需內容。請做到: 建立自然流暢的層級架構 導覽中儘量使用文字連結 建立實用的404網頁、改善使用者體驗 最佳化網站內容 1.提供優質內容和服務 儘管對於網站架構一些基本的小幅修改確實能對網站的使用者體驗以及搜尋結果的表現有顯著影響,然而回到最根本要素,建立引人注目且實用的內容,才是提升網站人氣最重要的因素。唯有優質的內容才能讓使用者透過社群網站、部落格或論壇分享而獲得放大效益,而這種口碑相傳的效應會大大提高網站聲譽。 此外,網頁工程師應事先考慮各類型使用者搜索行為的差異、進行關鍵字分析,並站在使用者的角度選擇合適的關鍵字。藉由搜索引擎的「關鍵字分析工具」,才可讓網站更容易於熱門搜尋中被注意到。 撰寫容易閱讀的文字、創作新穎而獨特的內容,是決定使用者要不要駐足於此的重要因素 根據訪客的需求設計網站,同時確保搜尋引擎可以輕鬆存取 適當使用標記,可以讓使用者清楚意識到這部分文字比較重要,幫助使用者瞭解標題文字下的內容類型,讓文件更容易流覽 2.超連結文字 力求使用簡明扼要的文字、提供有關連結網頁的基本訊息。應避免無含義的錨定文字,例如「網頁」、「文章」或「這裡」等等。 3.圖片 使用「alt」屬性可提供有關圖片的資訊。將圖片的檔案名稱和替代文字最佳化,可讓「圖片搜尋」更容易瞭解您的圖片,藉此也同時提高網站的曝光度 將檔案儲存在專用的目錄中,並使用一般檔案格式加以管理 建立圖片Sitemap檔案 檢索器互動 搜尋引擎友善度(Search Engine Friendly, SEF)就是讓搜尋引擎理解網站的內容,將網頁內容收錄在資料庫中。在Google官方文件中,針對網站的建置提出許多建議。簡單來說,越符合搜尋引擎檢索器的規則,搜尋引擎友善度越高,自然越能提高搜索引擎蜘蛛檢索網站的機會與效率。 1.robots.txt 使用robots.txt限制搜尋引擎對無需檢索的部分進行檢索。 2.nofollow 使用「nofollow」對抗垃圾評論,告知搜尋引擎不應隨著網站上的某些連結而連至他處,也不應將網頁的信譽情況傳給連上的網頁。 3.sitemap 建立網站專屬的XML Sitemap檔案,同時使用搜尋引擎的「網站管理員工具」提交XML Sitemap,讓搜尋引擎更容易發現您的網頁。 關鍵字廣告需要投入相當預算,且隨著廣告預算止付宣傳效果也就嘎然而止。其它如同業競爭惡意點閱、經銷商灌水的報表以及無法鎖定真正目標客戶群都是關鍵字廣告潛在的缺失。相較於關鍵字廣告,我們的技術是藉由提升網站的價值以獲得更多的點擊率,公司網站的內涵遠比關鍵字廣告短暫的灌水排名更為重要。SEO的技術相較於關鍵字廣告需要的推廣宣傳成本較低,且成效是永久的,因為SEO技術是以循序漸進的方式增加公司網站的流量,並提升網站的分數與排名,對一個長遠經營的公司而言SEO才是推廣宣傳業務的最佳方案。 下面是我們為客戶做SEO服務的流程圖:

整體規劃(Holistic Solution)

光盾資訊科技提供整合式的資訊安全服務,內容包含資安風險評估、弱點改善、管理稽核。 我們的CIA服務幫您作整體資安規畫、佈署(包含所有需要的軟體和硬體)、檢測,到定期分析報告,使您再也不用擔心資訊安全的問題。 CIA服務意指光盾將使您的敏感資訊擁有機密(confidential)、完整(integral),以及隨時可以取得(available))的特性。我們的服務遵守國際標準,包含 ISO 2700系列、 National Institute of Standards and Technology (NIST)、Computer Emergency Response Team (CERT) 、ITIL、COBIT、OWASP等等。光盾使用的測試資料庫和相關技術亦隨著技術發展而不斷更新並保持在世界領先地位。 因個資法是許多企業擔心的課題,光盾與專業的律師事務所合作,為客戶的權利帶來最大的保障。我們與所有客戶皆簽署保密協定,並作長久永續的經營,使您能在最安心的情況下獲得最完善的服務。 由上圖可見,這個整體性的解決方案由實體(physical)、技術(technical)、管理(administrative)三方面著手,並由資安專家為客戶確實解決問題,而這也是光盾的特點-我們擁有完整為客戶解決問題的能力和技術。 除了完善的資安解決方案,光盾協助客戶遵循法規、取得各式資安認證。本公司已協助諸多政府單位、大型企業、金融組織、醫療體系、教育機構導入此完整解決方案。