網際網路自1990年代中期快速發展,並已應用於世界各個角落、各個領域。如今,大家已習慣利用網際網路來搜尋資料、買票購物等等。隨著網路的發展,越來越多人進入網路這塊市場,網路上能搜尋的資料量越來越多,衍生而來的問題就是資訊的能見度。舉例來說:”當一個人要在網路上買筆記型電腦,他會直接在搜尋引擎上輸入關鍵字,接著自然而然地進入搜尋結果第一名的網站。我們可以看到,範例搜尋第一名是百思買(www.bestbuy.com),而使用者隨即開始涉獵標的(圖一)”。這樣的行為造成搜尋引擎排名的競爭激烈,人人都想讓自己的網站有最佳的能見度,而根據Optify研究顯示,排名第一的點擊率(36.4%)是第二名(12.5%)的三倍之多(圖二),進一步分析,搜尋結果前十名的平均點擊率8.9%與十至二十名的平均點擊率1.5%相比,第一頁的平均點擊率是第二頁的六倍,表示網頁搜尋結果排名在第一頁之後的位置,已幾乎乏人問津…。 因此,什麼因素決定排序?有什麼方法可以提升能見度?成了許多人非常感興趣的話題。 圖一 圖二網路搜尋引擎最佳化就是所謂的SEO (Search Engine Optimization)。經過SEO服務的網站可以在搜尋引擎中獲得極佳的排名次序,將使您的產品或服務輕易地被找到,因而發掘更多潛在的重要客戶。藉由全球搜尋引擎所帶來的曝光量,將快速提升公司或網站的知名度、在市場上比對手更快取得先機、有效率地擴展公司業務。搜尋引擎最佳化更重要的意義,在於為使用者打造最佳的使用體驗,讓網站最完美的一面,呈現在使用者/消費者眼前。 SEO搜尋引擎最佳化雖然目前還不是個很明朗的學問,因為大多數搜尋引擎對於如何評等網頁的演算法保持最高機密,且隨著搜尋引擎的演算規則改變,SEO技術也會跟著調整。儘管搜尋引擎演算法的各項因素和因素所佔權重可能不斷地在改變,但對於網站開發與經營,光盾整理出以下幾點實做SEO的方向與原則仍是不變的: 改善網站架構 1.標題 標題內容一般出現在搜尋結果的第一行。如果標題文字出現在使用者的搜尋查詢中將以粗體標示,這將有助於網站被需要的使用者或消費者快速正確地找到。網站的首頁標題可以列出公司或網站名稱,還可以包括網站涉及的領域或提供的服務等等重要資訊。請使用: 簡短且準確的網頁標題 為每個網頁都建立獨特有意義的網頁標題,避免[未命名]或[新網頁]這類的預設標題或無意義的網頁標題 2.摘要 網頁中繼標記將提供搜尋引擎關於該網頁的摘要,也就是向使用者概括介紹您的網頁內容。當摘要中的文字出現在使用者的查詢字中,搜尋引擎將會以粗體顯示搜尋結果,這亦將有助於網站被需要的使用者或消費者快速正確地找到。 3.網址 清楚易懂的URL命名有助於搜尋引擎檢索該網頁,可以提供使用者更明確的訊息。應避免網址顯示難以辨別的字母、數字或參數,而網站的網址結構應該儘可能簡單,且以有邏輯的方式來架構讓人容易理解的網址。這些對於使用者或搜尋引擎都是正向的效果。請注意: 網址避免難以辨別的參數,使用有意義的單字 目錄架構簡單清楚 4.導覽 建議使用「階層連結清單」導覽讓使用者方便快速地在網站內找到所需內容。請做到: 建立自然流暢的層級架構 導覽中儘量使用文字連結 建立實用的404網頁、改善使用者體驗 最佳化網站內容 1.提供優質內容和服務 儘管對於網站架構一些基本的小幅修改確實能對網站的使用者體驗以及搜尋結果的表現有顯著影響,然而回到最根本要素,建立引人注目且實用的內容,才是提升網站人氣最重要的因素。唯有優質的內容才能讓使用者透過社群網站、部落格或論壇分享而獲得放大效益,而這種口碑相傳的效應會大大提高網站聲譽。 此外,網頁工程師應事先考慮各類型使用者搜索行為的差異、進行關鍵字分析,並站在使用者的角度選擇合適的關鍵字。藉由搜索引擎的「關鍵字分析工具」,才可讓網站更容易於熱門搜尋中被注意到。 撰寫容易閱讀的文字、創作新穎而獨特的內容,是決定使用者要不要駐足於此的重要因素 根據訪客的需求設計網站,同時確保搜尋引擎可以輕鬆存取 適當使用標記,可以讓使用者清楚意識到這部分文字比較重要,幫助使用者瞭解標題文字下的內容類型,讓文件更容易流覽 2.超連結文字 力求使用簡明扼要的文字、提供有關連結網頁的基本訊息。應避免無含義的錨定文字,例如「網頁」、「文章」或「這裡」等等。 3.圖片 使用「alt」屬性可提供有關圖片的資訊。將圖片的檔案名稱和替代文字最佳化,可讓「圖片搜尋」更容易瞭解您的圖片,藉此也同時提高網站的曝光度 將檔案儲存在專用的目錄中,並使用一般檔案格式加以管理 建立圖片Sitemap檔案 檢索器互動 搜尋引擎友善度(Search Engine Friendly, SEF)就是讓搜尋引擎理解網站的內容,將網頁內容收錄在資料庫中。在Google官方文件中,針對網站的建置提出許多建議。簡單來說,越符合搜尋引擎檢索器的規則,搜尋引擎友善度越高,自然越能提高搜索引擎蜘蛛檢索網站的機會與效率。 1.robots.txt 使用robots.txt限制搜尋引擎對無需檢索的部分進行檢索。 2.nofollow 使用「nofollow」對抗垃圾評論,告知搜尋引擎不應隨著網站上的某些連結而連至他處,也不應將網頁的信譽情況傳給連上的網頁。 3.sitemap 建立網站專屬的XML Sitemap檔案,同時使用搜尋引擎的「網站管理員工具」提交XML Sitemap,讓搜尋引擎更容易發現您的網頁。 關鍵字廣告需要投入相當預算,且隨著廣告預算止付宣傳效果也就嘎然而止。其它如同業競爭惡意點閱、經銷商灌水的報表以及無法鎖定真正目標客戶群都是關鍵字廣告潛在的缺失。相較於關鍵字廣告,我們的技術是藉由提升網站的價值以獲得更多的點擊率,公司網站的內涵遠比關鍵字廣告短暫的灌水排名更為重要。SEO的技術相較於關鍵字廣告需要的推廣宣傳成本較低,且成效是永久的,因為SEO技術是以循序漸進的方式增加公司網站的流量,並提升網站的分數與排名,對一個長遠經營的公司而言SEO才是推廣宣傳業務的最佳方案。 下面是我們為客戶做SEO服務的流程圖:
光盾資訊科技提供整合式的資訊安全服務,內容包含資安風險評估、弱點改善、管理稽核。 我們的CIA服務幫您作整體資安規畫、佈署(包含所有需要的軟體和硬體)、檢測,到定期分析報告,使您再也不用擔心資訊安全的問題。 CIA服務意指光盾將使您的敏感資訊擁有機密(confidential)、完整(integral),以及隨時可以取得(available))的特性。我們的服務遵守國際標準,包含 ISO 2700系列、 National Institute of Standards and Technology (NIST)、Computer Emergency Response Team (CERT) 、ITIL、COBIT、OWASP等等。光盾使用的測試資料庫和相關技術亦隨著技術發展而不斷更新並保持在世界領先地位。 因個資法是許多企業擔心的課題,光盾與專業的律師事務所合作,為客戶的權利帶來最大的保障。我們與所有客戶皆簽署保密協定,並作長久永續的經營,使您能在最安心的情況下獲得最完善的服務。 由上圖可見,這個整體性的解決方案由實體(physical)、技術(technical)、管理(administrative)三方面著手,並由資安專家為客戶確實解決問題,而這也是光盾的特點-我們擁有完整為客戶解決問題的能力和技術。 除了完善的資安解決方案,光盾協助客戶遵循法規、取得各式資安認證。本公司已協助諸多政府單位、大型企業、金融組織、醫療體系、教育機構導入此完整解決方案。
紅隊演練(Red Teaming)是模仿駭客的行為,嘗試達成目標的資訊安全服務。此服務可確認系統是否有重大漏洞可讓駭客入侵,也可以從防禦的角度來驗證防護機制。
常見的目標為驗證「是否可竊取敏感資訊」、「是否可由外網進入內部網段」、「是否能控制主機」等等。
光盾進行相關測試時,會使用並將測試流程及結果,對映至ATT&CK Matrix的項目中(客戶亦可依需求,客製化內容):
為防止影響系統的正常運作,在做可造成破壞性之行為前,光盾會事先與客戶溝通,而客戶可選擇是否進行下列測試:
光盾團隊具有國際化優勢,具豐富國際資安經驗,並持續協助全球客戶(含台、美、日、歐之政府機關、金融機構、各類大型企業)進行此項測試。光盾於紅隊演練中,持續發掘各式零時差漏洞並協助客戶修正。為保障客戶權益,光盾嚴謹內控,絕不公布相關漏洞。
光盾以自行研發之系統,為客戶執行社交工程郵件測試(Social Engineering),
其系透過電子郵件的方式,提供受測單位了解社交工程的存在、提高警覺性、審視系統安全缺口,並藉由內部教育訓練來補強。
本工具可以依照需求,以客製化來源來傳送郵件,並支援各式附檔類型。
除了利用駭客工具直接破解系統外,社交工程廣為駭客使用,並藉此入侵內部系統,因此是重大組織、企業必須嚴防的攻擊方式。
依客戶需要,郵件內容可涵蓋各種類型、模板,例如: 保健、八卦、休閒、時事等等,而光盾的程式將記錄用戶執行「開啟郵件」、
「點閱郵件」、「開啟附件」等行為,並於檢測完畢提供統計報表(含整體點閱率、各別帳號點閱率、精確點閱時間等等)。
滲透測試是對系統、網路或應用程式進行模擬攻擊的服務,以識別可能被惡意駭客利用的安全漏洞。滲透測試的主要目標是完整評估系統的安全性以及其抵禦攻擊的能力。在滲透測試期間,熟練的網絡安全專業人員(亦被稱為滲透測試人員或道德駭客),將嘗試利用目標系統中的漏洞並加以驗證,就像真正的攻擊者可能會做的一樣。
光盾的滲透測試主要是利用自行開發之AI滲透測試工具-RayInvader,以弱掃工具-RayScanner輔助,使用駭客的手法,嘗試入侵客戶的系統並找出可能的弱點;在找出弱點後,我們會提出詳細報告並協助客戶改善。檢測標的可包含所有電腦系統,例如各式主機、應用程式、手機軟體、資安設備、IoT、所有類型之作業系統、API等等。和其他資安公司最大的不同,就在於本公司為客戶進行諸多零時差漏洞(未被發布的弱點)測試,因此檢測結果將包含已知和未知的漏洞,這對於注重資訊安全的大型組織而言至關重要!光盾俱備極豐富之國際經驗,已為台、美、日、歐無數的政府單位、銀行、大型企業、製造業執行滲透測試,除可以最大程度檢測出問題,更可保障客戶系統和資料的安全性,不至於因為檢測而遭受破壞。
本公司的服務包含了完整的內部及外部滲透測試。外部滲透測試即由公司外部,利用所有可行的駭客手法試著入侵到公司內部,取得機密文件、上傳檔案、改變設定等等。當然,這也包含了伺服器以及網頁的入侵。在試完各種入侵方式、出具完整報告後,我們即可以專業之顧問服務,協助客戶修補、複測漏洞。內部滲透測試即由公司內部,嘗試一些非法行為,例如取得機密文件以及越權; 這種內部測試可以防止不肖員工,或者駭客經由入侵員工的電腦而從內部攻擊公司。尤其是企業的內部網路往往存有最機密的商業資訊,其安全性檢測格外重要。
光盾執行的滲透測試除了可檢測出各式嚴重漏洞,諸如嚴重之零時差漏洞(zero-day vulnerabilities)、資料隱碼(SQL Injection)、跨站腳本(XSS)、阻斷服務(DoS)等等,亦會進一步深入探索問題可影響的深度及廣度,而光盾的滲透測試流程依循以下的國際規範: OSSTMM、OWASP Top Ten,以及NIST- SP800-115。下為光盾進行滲透測試時使用的流程簡圖(可依需求客製化檢測情境、項目):
光盾的滲測試由擁有CISSP、CEH、CISM、CPENT、LPT等等國際證照之資安專家,使用RayInvader並輔以手動的方式嘗試進入目標系統或取得敏感資訊,藉此深入問題核心和察覺由弱點掃描無法偵測的問題。例如,由網際網路滲透進入內部網路並截取敏感資訊即不屬於弱點掃描的範疇。
滲透測試至少包含下列優點:
RayScanner和RayInvader採用和美國政府同步的資料庫,利用最新、最即時的資訊確認您的網站和應用程式有無被入侵的可能、是否符合最嚴格的國際規範。由於堅強的團隊陣容和技術層次,我們執行的滲透測試亦會幫您找到其他軟體不會偵測出的漏洞,例如複雜的商業邏輯漏洞(Business Logic Flaws)和諸多零時差攻擊(Zero-Day Attacks)!
由擁有CISSP、CEH、CISM等等國際證照之資安專家執行滲透測試之後,光盾除了協助您改善漏洞,也幫您作更完善的規劃與建議,使您的系統在深度防禦的概念下得到最可靠的保障。檢測結果報告會將弱點依風險排序,並附上極完整之檢測過程、造成後果,以及解決方案。
由於這部分的報告可能涉及十分敏感的資訊,我們會與客戶簽訂保密協定,以及協定詳細測試內容。若您需要更深入的訊息,光盾樂意提供滲透測試的範例報告給您參考。
滲透測試和弱點掃描有以下的關係:
光盾提供外網、內網滲透測試,亦有豐富為各式重大系統(例如:銀行ATM、SWIFT、公文交換系統等)測試之經驗。我們可為客戶在不同情境下,完整測試系統的安全性。
