黑箱工具測試

黑箱工具測試即使用軟體進行檢測,多達70 % 的網站有漏洞,嚴重可能導致公司機密數據被盜,如信用卡內容和客戶名單,安資捷所採用 「Acunetix」 網路漏洞掃描軟體檢測您計算機網路環境安全性,「Acunetix」可以識別出比傳統的掃描技術更多的安全漏洞而且誤報率極低, Acunetix 控制傳感技術結合黑匣子掃描技術將反饋傳感器置於源代碼中,當源代碼正在執行,不僅可以獲得相應的反饋。AcuSensor 技術的優勢,這些優勢包括:更快的尋找和定位一個漏洞,同時提供該漏洞的詳細訊息,如源代碼行數,堆棧跟踪和受影響的SQL查詢,還檢查Web應用的配置問題,如錯誤的Web.config或php,ini文件;檢測有更多的SQL injection的弱點不依靠網路服務器的錯誤訊息;... 等等。

何謂人工滲透測試

委託專業資安專家進入受測單位,以駭客入侵的角度由外部對企業網路環境作深入探測服務找出各種潛在的漏洞,測試後找出檢測單位內部系統風險係數及內部開發程式存在的漏洞,同時評估建議是否有其安全性需趕善加強作業,讓企業能盡速降低被入侵風險,待企業修補完畢後,資安專家會再次確認是否有其他手法繞過,以確保受測企業不會因為一樣的問題蒙受損失,而滲透測試也是完成資安稽核的最一哩路。

vms-fig-01

在資訊安全管理的作業中,針對資訊資産的定期性的弱點評估已經是必要的日常工作。企業或機關期望透過有效的弱點管理作業,來降低資訊資産可能發生的潛在風險。然而,在中大型企業或機關中,由於資訊資産數量較多,弱點評估結果(尤其是技術性弱點掃描的結果)同様的也經常多到讓資安管理人員相當煩惱,同様的弱點管理的相關工作也佔據了他們大部份的工作時間,特別在弱點的通報、處理及追蹤這類非專業性的人工作業。

弱點案件管理系統就是設計用來降低企業或機關在弱點管理工作上的負擔,透過自動化的弱點案件管理系統有效落實弱點管理作業,降低潛在的資安風險。

pia-fig-3

個人資料保護法通過立法後,個人資料保護的責任由「道義」責任提升成為「法定」責任及義務,擁有個人資料愈多的企業或機關其保護個人資料的責任與面臨的風險就愈高。然而,現今大部份企業或機關的個人資料以各種型態(如:檔案、資料庫、表單、報表等)散落在各個作業流程、電腦設備、資訊系統、儲存媒體、文件櫃或檔案室中。企業或機關該如何在千頭萬緒的個資防護要求下,著手規劃可以符合個資法要求也能強化個資保護的行動方案?

 

emailsocial-fig-12很多的資安專家們都會提到:「電子郵件社交工程攻擊導致後門程式被植入內部電腦是『很嚴重』的資安防護漏洞」。然而對於企業或組織的資訊管理人員來說,經常的反應卻是:「聽起來『好像很嚴重』,但到底有多嚴重卻完全無法感受到」。因此,也就無法提出有效的防護及改善方法,甚至長期以來因為無法感受到嚴重程度,因而忽略了這個防護漏洞可能帶來的巨大風險。電子郵件社交工程演練服務,是「模擬」駭客寄發社交工程攻擊信件給受測對象,以信件之標題及內容引誘收件人「開啟信件」、「點閱連結」或「開啟附件」進而下載惡意程式的攻擊演練行為,透過受測對象開啟演練信件下載惡意程式的時機,來記錄受測對象對社交工程信件的存取行為,並進而統計分析出企業或組織對電子郵件社交工程演練攻擊的防護漏洞及其嚴重性。