弱點掃描服務及滲透測試

弱點掃描服務(Vulnerability Scanning)

光盾使用RayScanner為您做遠端或內部弱點掃描服務,並藉此協助您改善系統安全的問題。在問題改善後,您的網路應用程式、資料庫,以及路由器將可在資安專家的協助下符合以下國際資訊安全規範:

1. CERT

2. PCI

3. NSA

4. NIST SCAP FDCC

5. HIPAA

6. CIS

7. GLBA

8. DISA STIGs

常見弱點掃描檢測出的漏洞包含資料隱碼(SQL Injection)、跨站腳本(XSS)、不安全資安設置、系統版本過於老舊等等可造成嚴重個資外洩的問題。

RayScanner包含數萬個不同的檢測子程式,並即時與美國政府單位使用的資料庫、光盾自行研發的資料庫同步,為客戶提供最完整的檢測報告。依客戶的不同需求,光盾亦可免費額外提供其他商業版或免費版的知名軟體弱點掃描結果,供客戶參考。

由擁有CISSP、CEH、CISM等等國際證照之資安專家執行弱點掃描之後,光盾除了協助您改善漏洞,也幫您作更完善的規劃與建議,使您的系統在深度防禦的概念下得到最可靠的保障。光盾已為無數的政府單位、銀行、大型企業執行弱點掃描,除可以最大程度檢測出問題,更可保障客戶系統和資料的安全性,不至於因為檢測而遭受破壞。

滲透測試(Penetration Testing)

光盾的滲透測試主要是利用RayInvader,使用駭客的手法,嘗試入侵客戶的系統並找出可能的弱點;在找出弱點後,我們會提出詳細報告並協助客戶改善。檢測標的可包含所有電腦系統,例如各式主機、應用程式、手機軟體、資安設備、所有類型之作業系統等等。和其他資安公司最大的不同,就在於本公司為客戶進行諸多零時差弱點(未被發布的弱點)測試,因此檢測結果將包含已知和未知的漏洞,這對於注重資訊安全的大型組織而言至關重要!若您相信只靠防毒就能解決所有的問題,請點這裡。光盾已為無數的政府單位、銀行、大型企業執行滲透測試,除可以最大程度檢測出問題,更可保障客戶系統和資料的安全性,不至於因為檢測而遭受破壞。

本公司的服務包含了完整的內部及外部滲透測試。外部滲透測試即由公司外部,利用所有可行的駭客手法試著入侵到公司內部,取得機密文件、上傳檔案、改變設定等等。當然,這也包含了伺服器以及網頁的入侵。在試完各種入侵方式後,我們即可著手修補所有已知的漏洞。內部滲透測試即由公司內部,嘗試一些非法行為,例如取得機密文件以及越權; 這種內部測試可以防止不肖員工,或者駭客經由入侵員工的電腦而從內部攻擊公司。尤其是企業的內部網路往往存有最機密的商業資訊,其安全性檢測格外重要,請點這裡,了解內網滲透測試之必要性。

光盾執行的滲透測試除了可檢測出各式嚴重漏洞,諸如資料隱碼(SQL Injection)、跨站腳本(XSS)、阻斷服務(DoS)等等,亦會進一步深入探索問題可影響的深度及廣度,而光盾的滲透測試流程依循以下的國際規範: OSSTMM、OWASP Top Ten,以及NIST- SP800-115。

使用RayInvader協助,光盾的資安專家輔以手動的方式嘗試進入目標系統或取得敏感資訊,藉此深入問題核心和察覺由弱點掃描無法偵測的問題。例如,由網際網路滲透進入內部網路並截取敏感資訊即不屬於弱點掃描的範疇。滲透測試至少包含下列優點:

  • 確認一些攻擊行為是否真的可行,並可藉由實際測試判斷影響性、執行風險評估
  • 檢測攻擊者是否可以結合中等或輕微的弱點,造成重大資安事件
  • 探索並嘗試未知的漏洞,以及發現自動化工具無法偵測的弱點
  • 檢視現行資安防護軟硬體對於網路攻擊的實際效能
  • 分析系統防護或架構不足處,並針對弱點加以補強

RayScannerRayInvader採用和美國政府同步的資料庫,利用最新、最即時的資訊確認您的網站和應用程式有無被入侵的可能、是否符合最嚴格的國際規範。由於堅強的團隊陣容和技術層次,我們執行的滲透測試亦會幫您找到其他軟體不會偵測出的漏洞,例如複雜的商業邏輯漏洞(Business Logic Flaws)和諸多零時差攻擊(Zero-Day Attacks)!

由擁有CISSP、CEH、CISM等等國際證照之資安專家執行滲透測試之後,光盾除了協助您改善漏洞,也幫您作更完善的規劃與建議,使您的系統在深度防禦的概念下得到最可靠的保障。檢測結果報告會將弱點依風險排序,並附上極完整之檢測過程、造成後果,以及解決方案。

由於這部分的報告可能涉及十分敏感的資訊,我們會與客戶簽訂保密協定,以及協定詳細測試內容。若您需要更深入的訊息,光盾樂意提供滲透測試的範例報告給您參考。

滲透測試和弱點掃描有以下的關係:

  • 滲透測試的內容包含弱點掃描
  • 滲透測試可能結合弱點掃描找出的中等或輕微漏洞,成功進入系統或取得個資,因而找出潛藏的重大漏洞
  • 許多類別的漏洞是弱點掃描無法找出的,例如商業邏輯漏洞(Business Logic Flaws)、多種類型的阻斷服務(DoS)、其他諸多類型之重大問題
  • 由於滲透測試會實際嘗試入侵系統,故報告將會有相關截圖和步驟,例如下面的截圖即只會在滲透測試的報告中看到(實際入侵到網站管理者的控管頁面):

簡單地說,滲透測試是比弱點掃描更為完整的資訊安全檢測。