分散式壓力測試(Distributed Stress Testing)
事先了解系統瓶頸並進行DDoS模擬測試 一般的壓力測試(Stress Testing)採用單點式(單一來源IP),用來測試網站、應用程式對於較大網路流量時的穩定性、可取得性、錯誤處理、錯誤回復能力。此方法可讓我們了解一個網站或應用程式對於人數承載量、高流量的處理能力,以及其是否易於出現錯誤。 不同於一般的壓力測試,分散式壓力測試採用多點式(來自國內外之多個來源IP),除了可達到單點式的測試結果,可為客戶測試真實情況下,用戶數目上升時會產生的問題,以及是否可承受一定量的DDoS攻擊。 本測試參考F-ISAC規格,可分為三種類型(依客戶需求事先決定封包內容、連線數量、佔用頻寬等數據): 1. 大量連線數目檢測 利用多個國內、外之主機,大量佔用連線數量,藉此觀察目標系統是否會因為此類攻擊而暫停服務正常用戶。 2. 大流量測試 利用大量國、內外之主機,依客戶之需求大量傳送封包至目標主機。若客戶有使用流量清洗機制,可藉此驗證相關防護機制是否真實有效、開啟時機等。依客戶需求,光盾可提供5 Gbps以內的流量測試。 3. 混合型測試 結合大量連線數目、大流量,觀察客戶之系統是否能承受相關攻擊、是否可承受一定數量之用戶、清洗機制是否啟用等。 為什麼需要進行分散式壓力測試?
社交工程郵件測試(Social Engineering)
光盾以自行研發之系統,為客戶執行社交工程郵件測試(Social Engineering), 其系透過電子郵件的方式,提供受測單位了解社交工程的存在、提高警覺性、審視系統安全缺口,並藉由內部教育訓練來補強。 本工具可以依照需求,以客製化來源來傳送郵件,並支援各式附檔類型。 除了利用駭客工具直接破解系統外,社交工程廣為駭客使用,並藉此入侵內部系統,因此是重大組織、企業必須嚴防的攻擊方式。 依客戶需要,郵件內容可涵蓋各種類型、模板,例如: 保健、八卦、休閒、時事等等,而光盾的程式將記錄用戶執行「開啟郵件」、 「點閱郵件」、「開啟附件」等行為,並於檢測完畢提供統計報表(含整體點閱率、各別帳號點閱率、精確點閱時間等等)。
手機APP資安檢測(Mobile Application Security Testing)
光盾擁有完整的手機APP資訊安全檢測技術,由專業資安技術人員進行自動化工具,加上專家手動檢測,清查並驗證APP軟體內所有可疑的安全漏洞。 我們有非常豐富的手機安全檢測經驗和理論基礎,亦提供相關研究予美國國土安全部(Homeland Security)。光盾針對手機APP軟體內的各項漏洞產出相關解決報告,給予完整及客製化的建議、協助客戶解決問題,將有效防止攻擊者運用漏洞進行攻擊、竊取使用者機敏資料。 光盾提供非常深入的測試。本檢測依循OWASP、NIST規範,並確保客戶的發行的程式不至於因為漏洞造成個資外洩。 圖一: 提供檢測及建議流程 為何需要手機APP資安檢測? 隨著智慧型手機的蓬勃發展,手機APP如雨後春筍般冒出。然而,絕大部分的手機APP有嚴重的資安漏洞,因為絕大多數的企業、銀行、政府單位並未執行資安檢測,且相關程式並非由受過專業資安訓練的程式設計師所撰寫。 光盾經由測試經驗發現,絕大多數手機APP有極嚴重的資安漏洞,輕則使手機易於中毒,重者則可造成用戶及組織的機敏資料外洩、組織自身的主機被攻擊。 手機APP檢測的成效? 光盾由專業資安人員運用自動化工具與人工檢測為客戶進行手機APP資安檢測,利用全面且深入的檢視,確保客戶所發布的手機應用程式合乎相關安全檢測規範、符合法律要求,更不會因其系統內潛藏的任何有害漏洞,而造成使用者的個資外洩。我們建議客戶於手機上架發布前預先進行手機APP檢測,避免手機APP上架後因未經過檢測,導致用戶的損失、傷及自身企業商譽、違反法律規定。 檢測平台為何? 光盾可完整檢測Android 、iOS系統的手機應用程式,協助客戶找出並防範潛在的漏洞威脅。 有那些檢測項目? 完整的手機APP資安檢測包含源碼檢測加上滲透測試。 針對手機APP進行的滲透測試包含資料探勘、連線測試、錯誤處理、認證測試、資訊洩漏、商業邏輯、阻斷服務、權限跳脫等等。光盾可依客戶需求,增減測試項目,並為客戶確保是否合於法律規定。針對所有平台之程式(例如Android、iOS、Windows等等),光盾會將程式反編譯,並利用組合語言分析工具,為客戶詳細找出潛在漏洞。 圖二: 手機APP資安檢測項目 圖三: APP源碼檢測示意圖 客戶及案例和經驗有那些? 光盾擁有無數為政府企業、研究機構、銀行、大型企業執行手機APP資安檢測經驗,並提供國內外政府及資安組織專業之改善建議、進行尖端研究、發表研究文章。若有任何問題,歡迎您隨時與我們聯絡: support@rayaegis.com。
APT(Advanced Persistent Threat)檢測
甚麼是APT? 它的全名是進階持續性滲透攻擊(Advanced Persistent Threat, APT),為近年來常見且造成組織巨大損失的網路攻擊手法。它是一種精心策畫且長期潛伏的多方位網路攻擊,攻擊者多為經驗豐富的龐大組織駭客集團。APT攻擊時間長且緩慢 ,利用各種複雜的工具與詐騙手法(例如社交工程),攻擊目標大多為特定組織單位與大型企業,趁其稍有疏忽便竊取其鎖定的資料。 為什麼需要APT檢測? APT是一種長期性的潛伏攻擊,而此攻擊緩慢且無法輕易查覺,如同病毒潛藏於生活中,組織隨時隨地都有可能接觸並遭受攻擊。 APT檢測即長期執行深層的資安滲透測試,結合所有攻擊手法,為組織檢測是否有可以被攻擊者利用的漏洞。根據光盾的檢測經驗,即使是非常注重資訊安全的政府和金融單位,都仍多少有被攻擊者利用的漏洞(這些單位都有安裝諸多防謢軟硬體,甚至是專門用來防護APT的硬體)。APT檢測即可讓受測單位了解相關問題、測試防護系統的安全性、教育訓練的成效,讓組織能及時修正。更重要的是,藉由此項檢測,您將可知道現在設備(例如WAF、IDS/IPS、Antivirus、Sandbox等等)是否能有效防止進階攻擊,並在檢測後補強不足之處。 APT檢測內容為何? APT為一長期的攻擊行動,以往傳統的安全偵測不足以對付此類攻擊。光盾利用專業的資安技術及多年的經驗,協助客戶進行4-6個月客製化APT檢測(包含滲透測試、社交工程、零時差漏洞檢測、客製化破解等等),針對客戶的系統做完整資安環境現況分析,使用先進的手法模擬演練駭客入侵。除了找出問題所在,光盾的資深資訊安全工程師將協助客戶進行完整修補及防護。下表為此檢測的概要說明: 下表光盾團隊模擬攻擊者行為,為客戶進行APT檢測服務之流程(可在不影響客戶系統正常運作之下進行並驗證、依客戶需求刪減項目): APT檢測的成效? 本服務至少可以協助客戶的系統檢測下列項目: 機敏資訊是否可被非法竊取 網頁內容是否可被置換 系統是否可被癱瘓 系統是否存有攻擊者可利用的弱點 資安教育訓練是否落實 防護設備是否有效運作 客戶是否符合資安法規(例如金融業的PCI-DSS) 是否有其他各類型資訊安全問題 了解已布罝設備(例如WAF、IDS/IPS、Antivirus、Sandbox等等)是否能有效防止進階攻擊,並在檢測後補強不足之處
軟體漏洞診斷及修補
無論是基於不小心還是蓄意,軟體漏洞是極常見到的問題。有的外包廠商或惡意員工故意 製造這些漏洞,使得公司不得不與其續約或購買更新的產品; 更有甚者,有員工安裝惡意程 式來報復將之解聘的公司。然而,最常見的是由於撰寫程式的疏忽而產生的漏洞。軟體漏洞 可能造成許多問題,例如資料外洩、電腦中毒,以及其他許多的嚴重後果。我們提供服務對軟 體作詳細的資訊安全評估,依您的需求做黑箱、灰箱、白箱測試,並在發現問題後協助改善,確 保您在使用程式時不用擔心其安全性。
即時漏洞偵測
光盾提供即時漏洞偵測服務,防止客戶在重大檢測之間的空窗期被駭客入侵。一般公司一年實行二次重大檢測(包含弱點掃描和滲透測試),但每天都有新的漏洞被發布,造成公司的資訊安全受到嚴重威脅。 為解決這問題,光盾為客戶提供即時漏洞偵測服務,只要一有新的漏洞被發布,我們就偵測客戶是否有相關弱點,達到即時改善的效果。 我們建議將此服務和弱點掃描、滲透測試並行使用,為公司的資訊安全達到最佳偵測及預防效果!
