kuoc – RayAegis Information Security

關於光盾

光盾資訊科技是由專業的資訊安全團隊所組成。我們熟悉駭客的技巧，以及如何結合科技和管理方法，來保護公司的機密資訊–包含防制駭客及員工竊取敏感資訊。本公司的技術團隊成員包含美國卡內基美隆大學、普渡大學、國立台灣大學電資學院之電腦及資訊安全碩博士，以及擁有各式專業資訊安全證照，例如CISSP、CISM，以及CEH的專業人士。從規劃、部署程式、檢測，到定期報告，我們可以提供您整套的資訊安全服務，讓您不用再擔心資訊外洩，從而專注於核心業務! 了解科技的變化是日新月異的，我們除了不斷更新知識了解最新訊息、研究相關頂尖領域和研發軟體，也積極參與和制定國際大型資訊安全組織的計畫，目前光盾成員亦於國立台灣大學教授資訊安全相關課程。光盾實驗室已研發出諸多零時差攻擊和防禦方式(包含各式作業系統、應用程式、資安硬體之未公布弱點)，且仍持續發展資安領域的尖端科技 – 我們確信唯有擁有最先進的技術和知識，才能為客戶帶來最強而有力的保障!光盾的客戶包含各類別，例如政府組織、銀行、金融機構、大型企業、醫療組織、學術單位等等。為求最有效保護客戶個資，本公司制定極嚴謹之流程、使用最高規格之加密工具、通過ISO 27001認證，徹底實現保護客戶敏感資訊之目的。此為相關檢測之聲明書。我們力求對客戶提供最頂尖完善的資訊安全服務，若您有任何問題，歡迎寄信到 support@rayaegis.com，我們將竭誠為您服務!

光盾資訊工作環境

在光盾資訊，我們深信專業人才的價值來自於「高度自主、持續學習與實戰累積」。我們的夥伴多來自資訊安全、AI / LLM Security、程式開發、IoT 與雲端領域，擁有深厚的技術背景，也對新技術充滿熱情。公司致力於打造一個能讓專業人才能充分發揮、自由探索並快速成長的工作環境。技術決策不只是主管拍板，我們鼓勵工程師與顧問基於專業提出不同觀點，讓好想法能被討論與落實。我們理解優秀人才不只是完成任務，更重視對技術的熱愛與自我精進。因此，光盾資訊提供彈性工時制度，每日工時為 7.5 小時，讓同仁在高效工作的同時，也能兼顧生活品質。正職夥伴滿一年後，除法定特休外，另享有額外特休假，鼓勵大家在高壓專案與研究挑戰之餘，適時休息、陪伴家人，維持身心平衡。為了支持夥伴的持續成長，公司定期補助專業課程、資安證照考試與國內外研討會，並安排內部技術分享，讓知識不只停留在文件，而能在交流中轉化為彼此成長的養分。在工作氛圍上，我們重視彼此的交流與合作。公司設有自助咖啡吧與零食區，讓大家在輕鬆愉快的環境中激盪創意；同時也鼓勵跨專案、跨領域的協作文化，讓資深顧問與新進夥伴能互相學習、快速融入。團隊合作是光盾資訊成功的核心。我們定期規劃海外員工旅遊或國際交流行程，不只是放鬆，更是讓夥伴了解國際資安趨勢、建立跨文化合作的視野。這不僅讓夥伴們留下珍貴的共同回憶，也讓每一次成長都成為值得驕傲的里程碑。

LLM 滲透測試暨紅隊演練

LLM滲透測試暨紅隊演練，是針對生成式AI(GenAI)與大型語言模型(LLM)系統所設計的安全檢測與對抗演練服務。本服務透過模擬真實攻擊者與惡意使用者的行為模式，驗證LLM在實際營運環境中，是否可能被誘導執行各類高風險行為，例如： -敏感資料或內部資訊外洩 -越權操作、過度代理、誤用工具或後端系統 -透過看似合理的對話，逐步洩漏內規、授信邏輯或敏感資訊 -推理與資源消耗失控，造成服務中斷或營運成本暴增與傳統應用程式不同，LLM的攻擊不只是單次的「惡意輸入」，而是透過多輪對話、語義操控、角色扮演與上下文汙染，逐步突破系統原本設計的安全邊界。因此，LLM需要專屬的測試與演練方法，而非僅套用既有的 Web 或 API 測試。光盾資訊的LLM滲透測試暨紅隊演練特色: 本服務依循OWASP LLM Top 10（2025）– Top 10 Risks & Mitigations for LLMs and GenAI Applications、OWASP AI Testing Guide等為基礎，結合自行研發的AI安全測試工具與資深顧問人工檢視，以真實攻擊者視角，全面檢測、驗證LLM系統在實際營運情境下的安全性。本服務亦已全面支援中文操作與測試流程、遞交中文報告，並已實際應用於多間銀行與企業的線上系統與內部環境。中文化的操作系統: 光盾自動化測試工具在進行注入類漏洞時的檢測流程: 在檢測完成後，光盾將提供完整分析報告(可選中文、英文、日文)、風險分級與可落實的修補建議、提供顧問，並協助客戶進行複測，確認問題已被修正。 LLM滲透測試暨紅隊演練的主要效益: 透過LLM滲透測試暨紅隊演練，企業可獲得以下實質價值： -驗證攻擊是否「實際可行」，而非僅停留在理論風險 -發現多個低風險行為組合後，可能造成的高風險結果 -揭露自動化工具無法發現的語義型與邏輯型漏洞 -驗證現有防護機制(如 Prompt Guard、限制規則、審查流程)是否有效 -協助建立可稽核、可持續的AI安全治理基礎光盾資訊的專業優勢: 光盾擁有豐富的國際銀行、政府與大型企業實務經驗，且已於2024年即開始執行相關檢測。 LLM滲透測試暨紅隊演練由具備CISSP、CEH、CISM、CPENT、LPT等國際證照的資安專家執行。我們不僅協助客戶找出問題，更著重於： -解釋風險對業務、營運與法遵的實際影響 -提供可執行的修補與治理建議 -在修補後進行複測，確保風險確實被降低光盾資訊執行的LLM …

API盤點-UTDS

隨著雲端、行動、微服務等技術的發展，API 已然成為應用程式開發中不可或缺的工具。然而，API卻也變成網路犯罪攻擊的重點。根據OWASP的API Top 10報告，常見之未經驗證的資料傳輸、過度授權、缺乏適當的監控與日誌等等，都是API常見的安全隱患。這些漏洞一旦遭到攻擊，不僅可能導致敏感資料外洩，更會影響企業的營運與聲譽。光盾資訊的API盤點系統為客戶發現不少這樣的問題: 公司將程式外包或購買產品，但於交付時，這些外包程式或購買的產品含有「影子API」，造成公司的系統被駭客利用影子API，感染惡意程式。這樣的供應鏈議題，已造成了諸多資安事件。為有效偵測到這樣的狀況，客戶可利用UTDS的硬體或VM架構，嚴謹監控內、外網中的API流量。有鑑於層出不窮的資安事件，金管會亦將API盤點視為重點項目。除了進行完整盤點，光盾資訊的產品結合人工智慧的零時差攻擊偵測、沙箱分析，因此在盤點出API的同時，亦可偵測針對API的攻擊、存在的漏洞等，為API防護作嚴謹的把關。下為光盾產品針對API風險的盤點畫面：強化API安全建議:

零時差漏洞(Zero-Day Vulnerability)

零時差漏洞是指在軟體、硬體或韌體中，存在尚未被發現或已知但未修補的安全漏洞。這些漏洞通會被攻擊者在公開之前利用，因為沒有補丁或修補措施來防禦這些攻擊。零時差漏洞被稱為「零日」(zero-day)，是因為當漏洞在被攻擊者利用時，開發者和安全專家沒有時間（零天）進行修補或防禦措施。具體定義包括以下幾點：這些漏洞的危險性在於攻擊者可以在開發者有機會修補漏洞之前，迅速利用這些弱點進行攻擊。因此，零時差弱點常被視為極高風險的安全威脅。

惡意程式防護有效性測試

愈來愈多公司、組織遭受各類型病毒威脅。相關案例不勝枚舉。光盾藉由大量布署之Honeypots，不斷收集最新駭客情資，含攻擊手法、相關行為、感染途徑，再利用模擬方法，撰寫虛擬惡意程式。用這個方法，光盾以安全、可管控的方式，為客戶確認: 1. 防護系統是否能偵測各類意程式攻擊(例如:硬碟加密、竊取敏感資訊、鍵盤側錄、任意指令執行等) 2. 內部敏感資訊是否會因為各式不同的手法(例如:HTTP-GET、HTTP-POST、SSH、FTP等)，而被駭客或內部人員傳送出去 3. 惡意程式是否可能在內網擴散藉由此檢測，客戶可以利用安全、可控的方式驗證: -敏感資訊的保護是否足夠 -防護設備是否運行正確 -資安政策是否落實，並使用最小權限原則 -測試敏感資訊是否可由內網傳出 -攻擊者是否能利用受測機當跳板，攻擊內網其他系統

內網滲透測試(Internal Penetration Testing)

愈來愈多企業的敏感資訊被駭並放到暗網上販賣、商業機密被競爭對手取得。許多人都有一買完網路商店就接到詐騙電話的不良經驗。這些都很可能是駭客所為。根據CVE統計報告，已發佈的漏洞數目，呈現愈來愈多的趨勢: 然而，內部系統的安全性往往是企業較易疏忽的一環。駭客可能使用以下方法取得內網權限:社交工程、無線網路、VPN(Virtual Private Network)感染、病毒傳播、外部滲透內網再由內網滲透等等。更有甚者，內部不肖員工可能利用系統的漏洞，竊取公司、其他同仁或上級的敏感資訊。過去曾爆發國內警察機關因為員警使用P2P軟體，導致報案記錄和筆錄檔案透過續傳分享而外洩(https://www.ithome.com.tw/news/43060);日本發生過P2P軟體Winny，大量洩漏重要軍事情報以及個人稅籍、病歷、交易資料等重大資安事件(https://www.ithome.com.tw/news/35963);美國政府發生個資外洩事件，被竊資料包括聯邦政府雇員、軍人、情報人員、政府包商，影響超過2200萬人(https://www.cw.com.tw/article/5124929)。相關案例多不勝數。基於其所造成的影響度和普及性，內網的檢測是必要且勢在必行的，而做滲透測試時應考量已取得內網權限的狀況。其中一項目的，是確認攻擊者是否能在內網取得敏感資訊，並將相關資訊利用各種方式傳出去(例如: HTTP、FTP、SSH, etc.)。光盾已為無數各國金融、大型企業、製造業進行此類檢測，並發現絕大多數企業並沒有有效防止此類問題。滲透測試採取駭客的角度，檢驗網路服務系統的安全防護措施是否有效、各項安全政策是否貫徹落實，另一方面可以讓潛在的安全風險以真實事件的方式突顯出來，而有助於提高相關人員的資安水平。在測試結束後，可立即進行安全防護修補作業，徹底解決安全防護的問題，以有效防止真實資安事件發生。資安防護是刻不容緩的，隨著國內外個資觀念的強化與落實，一旦發生資安事件，所造成的損失遠遠超過防護成本，更甚者無形的商譽損失將難以彌補。回到光盾滲透測試介紹。

弱點掃描(Vulnerability Scanning)

弱點掃描弱點掃描（Vulnerability Scanning）是一種自動化的安全測試方法，旨在識別系統、主機、網絡或應用程式中的安全漏洞。這種測試技術使用自動化工具來定期檢查目標系統，以尋找可能被攻擊者利用的弱點或漏洞。光盾使用自行開發的工具-RayScanner，結合常用工具(如:商業版Nessus及商業版Burpsuite)為您做遠端或內部弱點掃描服務，並藉此協助您改善系統安全的問題。在問題改善後，您的網路應用程式、資料庫，以及路由器將可在資安專家的協助下符合以下國際資訊安全規範: 1. CERT 2. PCI 3. NSA 4. NIST SCAP FDCC 5. HIPAA 6. CIS 7. GLBA 8. DISA STIGs 常見弱點掃描檢測出的漏洞包含資料隱碼(SQL Injection)、跨站腳本(XSS)、不安全資安設置、系統版本過於老舊、預設帳密等等可造成嚴重個資外洩的問題。 RayScanner包含數萬個不同的檢測子程式，並即時與美國政府單位使用的資料庫、光盾自行研發的資料庫同步，為客戶提供最完整的檢測報告。依客戶的不同需求，光盾亦可提供其他商業版知名軟體弱點掃描結果，供客戶參考。由擁有CISSP、CEH、CISM、CPENT、LPT等等國際證照之資安專家執行弱點掃描之後，光盾除了協助您改善漏洞，也幫您作更完善的規劃與建議，使您的系統在深度防禦的概念下得到最可靠的保障。光盾已為無數的政府單位、銀行、大型企業執行弱點掃描，除可以最大程度檢測出問題，更可保障客戶系統和資料的安全性，不至於因為檢測而遭受破壞。

光盾資訊檢測實驗室-公正性承諾聲明書

本實驗室以遵守國家法律、法規為基準，嚴格執行品質系統中各項規章及品質文件之內容，在ISO/IEC 17025:2017已認證之範圍內進行檢測作業。本實驗室全體人員承諾，對所有檢測作業及結果之數據公正性、保密性負責，不與任何其他利益相關，確保檢測結果不受商業、財務或其他第三方壓力危害其公正性及真實性，以維護客戶之權益。本實驗室將持續進行公正性風險之鑑別，包含實驗室活動、實驗室關係及各人員之關係，將風險進行消除或減至最低。本實驗室要求全體人員公正獨立，不參與任何損害檢測獨立性及誠信度之活動，不做假數據、不受上級或其他任何第三方之利益脅迫及關說，秉持實事求是之精神，並對所有檢測結果之數據負責。本實驗室人員嚴格遵守保密協定，不透露客戶相關技術、資料、數據及其他任何商業機密。實驗室全體員工嚴格遵守品質手冊及程序文件，堅持公平、公正及公開，嚴禁利用自身職權謀取利益。

聯絡我們

Email: support@rayaegis.com Phone: +886-229148982 Sharing Information: https://www.rayaegis.com.tw/