滲透測試服務

具備政府、銀行等豐富經驗的資安團隊

以Covid-19疫苗為例,根據國際商業機器公司(IBM)警告,新冠肺炎疫苗產業鏈,是駭客最虎視眈眈的攻擊目標,也是資安領域最需要關注的一環。而陸續有新聞傳出,輝瑞(Pfizer)、BioNTech等廠商的機密文件,遭到駭客非法存取;各國之間在疫苗之爭上,也頻繁傳出駭客入侵竊取機密文件或是癱瘓配送供應鏈的間諜活動。推陳出新的駭客手段,總是讓業者防不勝防,此時,滲透測試的用武之地就來了。

滲透測試係透過模擬駭客的攻擊方式,對目標主機或網路服務進行安全強度的測試,如:機關之伺服器、主機作業系統、應用軟體、網路服務、可提供聯網功能之物聯網設備,進行滲透或穿透跳躍主機之入侵測試,設法取得未經授權之存取權限,並測試內部資訊是否有遭受不當揭露、竄改或竊取之可能性。以找出潛在資安漏洞,提出改善建議,並於協助修正資安漏洞後提供複測,確認是否完成修正。

測試內容

A.

  • 作業系統未修正的漏洞掃描

C.

  • 應用程式:

  • 電子郵件服務套件、網站服務套件、檔案傳檔服務套件、遠端連線服務套件、網路服務套件、其它等類別。

B.

  • 網站服務:

  • 設定管理、使用者認證、連線管理、使用者授權、邏輯漏洞、輸入驗證、Web Service、 Ajax等類別。

D.

  • 密碼破解:密碼強度測試。

執行步驟

A.

資料蒐集
對受測目標進行資料蒐集與資訊分析(如:嘗試至受測物聯網設備官方網站或透過網路資源取得韌體、使用的通訊方法,以及對應之弱點資訊。若查無公開可下載之韌體或該韌體具保護機制,則蒐集該設備已知弱點資料),並將取得之相關資訊作為執行滲透測試決策。

B.

風險管理
在滲透測試執行期前,提出對受測目標進行備份建議,避免發生非預期資料毀損或遺失等情形。在滲透測試執行期間,執行具侵入性質的檢測作業皆需與機關進行確認,並於雙方議定之適當時間,且具備適當應變措施與風險評估後,才進行相關檢測作業。

C.

測試結果
針對服務說明之所有測試項目提出測試結果(實際測試項目視受測主機或網站所提供的服務為主),需說明詳細過程及內容:包括檢測目標、弱點名稱、問題URL或IP、問題參數、測試語法、測試截圖等,並說明可能造成的風險。

D.

分析報告
根據測試結果,將所發現之弱點與過程詳細記錄,且以畫面佐證過程與結果,並對結果進行確認,降低誤判問題(如:false positive、false negative),最後提出相關建議與測試報告。

服務流程

Service Process

專案起始會議

資料蒐集

滲透規劃

資訊洩漏與弱點測試

建立滲透途徑

安全漏洞滲透

信任關係測試

權限跳脫與提升

滲透測試
結果報告

簡報與文件
交付

TOP