滲透測試服務


 

服務簡介
「滲透測試」(Penetration Test)是以駭客思維與手法的入侵演練測試。安碁公司的滲透測試團隊在取得最少資訊的情況下,嘗試突破網路或系統的防禦,應用軟體、網路服務等系統設備之安全弱點與漏洞,設法取得控制權限或未授權之機敏資訊,以評估企業之整體安全性。
 
服務執行程序
滲透測試服務將以三個階段執行:

 

準備階段:
1. 確認客戶需求、執行目標、執行規範
2. 簽訂滲透測試授權同意書,取得合法測試授權
 
執行階段:
參考OSSTMM(Open-Source Security Testing Methodology Manual)建立執行架構,分為三個步驟:
參考OSSTMM(Open-Source Security Testing Methodology Manual)建立執行架構,分為三個步驟:資料蒐集、資訊分析、及目標滲透。並且以SANS Top 20及OWASP(Open Web Application Security Project)之弱點分類做為主要檢測標準,但仍會依情況所須適當的採用不同的弱點進行滲透。由於「應用程式滲透測試」與「系統、網路滲透測試」兩者在執行時性質不同,將分成「應用程式」及「系統、網路」,分別以不同的方式進行檢測。  


1.資料蒐集:蒐集目標在外之任何資訊,檢測是否對外洩漏敏感資料。
資料蒐集將分為主動式模式(Active)和被動式模式(Passive),前者會在目標範圍環境內執行偵蒐查詢,後者在目標範圍環境外執行資料查找,查找有價值的訊息。

 
2.資訊分析:分析目標所有資訊之可用性。
完成資料搜集後,使用工具進行檢測,依檢測的結果對目標進行漏洞分析,檢測該漏洞存在性以及判別該漏洞實際可能將造成風險程度。
 
3.目標滲透:
若分析該目標正在使用有漏洞的服務或軟體,藉由分析結果進行漏洞利用 (Exploit),實際作出無害的入侵測試動作,並確認該漏洞之存在性,並嘗試取得當下控制權或者提升更高權限。


顧問階段:
針對滲透測試過程所發現的安全弱點,提供顧問服務問題諮詢與「滲透測試結果報告書」。
  
服務效益
藉由安碁資訊的滲透測試服務,使企業瞭解自身系統建置或程式安全上的盲點,並提供完整的安全修補方案及預防措施,藉以提升企業網路及資訊系統的安全強度,降低資訊安全風險。
 
 服務特色與優勢

  • 執行滲透測試的同仁具備專業的證照,如CEH、ECSA等。
  • 結合國際知名檢測工具配合自行開發之系統,提升檢測深度
  • 參考OSSTMM國際標準OWASP TOP10弱點,分析網站Web程式碼,檢測是否含有漏洞
  • 本公司長期耕耘資安服務,擁有完整資安團隊,從安全監控到資安管理等均提供客戶優質的服務,可藉由團隊間的合作,對滲透測試檢測的結果與諮詢提供全面且完整的服務

 

回上頁