什麼是弱點掃描?

弱點掃描(Vulnerability Assessment, VA)指的是針對企業網站、內部伺服器或網路設備進行泛用性掃描，並發掘已知的系統弱點及後門程式。

接著深入探討、分析、調整並排除弱點掃描的結果報告，並以此評估企業內部環境之風險等級。

最後，依照各企業單位之需求協助並提供資安建議方案，確保企業之關鍵設備的安全性維持在最佳狀態。

弱點掃描流程

為什麼需要弱點掃描?

隨著科技發展，許多企業單位也愈來愈重視資訊安全。浩大的網路，面臨的威脅也日趨漸增，而APT攻擊正是近年來被企業視為最難防禦的網路攻擊，在於該攻擊是透過企業潛在的漏洞進行入侵。

此外，許多企業使用的服務或是系統，若無在第一時間進行版本更新時，也常面臨所謂的零時差攻擊，讓駭客更有機可趁。

因此，透過弱點掃描工具，並配合三甲科技專業的檢測能力，協助客戶進行內部主機弱點掃描，找出潛藏的弱點危機，並協助修補及維護，以降低企業單位之資安風險。

什麼是滲透測試?

網站滲透測試(Penetration Test, PT)為針對企業所提供之網站應用程式進行滲透測試，確認網站安全性並設法取得存取權與內部機敏資訊。

過依循OWASP TOP 10以及SANS TOP 20等準則設計一系列檢測流程。利用多種深入檢測工具輔助進行測試，包含SQL Injection及其他弱點檢測，並發現系統脆弱點。

最後，依照單位之檢測結果提供詳細的解決方案，持續提高客戶網站之安全等級。

滲透測試流程

為什麼需要滲透測試?

網路攻擊千變萬化，任何時候都有可能遭受駭客的惡意攻擊。近年來資安意識高漲，許多企業會導入弱點掃描來查找內部設備可能潛藏的弱點危機。

但其實只單仰賴弱點工具掃描出來的報告是不夠了，因此除了透過弱點掃描工具協助客戶單位進行內外部弱點掃描外，三甲科技也提供滲透測試。以駭客的思維，針對用戶單位之內外部網路、設備進行測試。

最後，找出脆弱點以及提供修補建議，搶先在遭受駭客攻擊前找出潛在的危機，確保客戶端資安能量維持在一定的水準。

什麼是資安健診?

資安健診係依循各式標準與規定，針對客戶單位環境進行全面性的安全檢測。並檢視客戶單位環境內各項資安防護能力，發掘不安全的設定與潛在風險，持續提升企業單位整體資安防護等級。

主要檢測目標項目包含：網路架構審視、有線網路惡意活動檢測、使用者及伺服器主機之惡意程式檢測與更新檢視、各項安全性設定檢視。

資安健診流程

為什麼需要資安健診?

因應網路威脅的迅速發展，網路攻擊的多樣性與不可預測性已成為企業需要面對挑戰的課題之一。為了找出自身的資安弱點，並進一步進行強化，企業單位必須透過資安健診為內部營運環境進行全面性的診斷，找出潛在或已知的資安風險並加強防護。

三甲科技為協助企業單位加強資安防護能力，將利用自動化工具與專業人員的分析檢視，並結合一系列的資安健診服務，包括對企業單位之網路、網通設備、伺服器與使用者電腦進行資安強度評估，找出組織內資安缺陷，並提供檢測報告及改善建議，為客戶強化其資安防護能力。

什麼是社交工程演練?

社交工程演練主要是利用社交工程的測試手法配合電子郵件或簡訊的方式針對企業單位進行測試。

為了提升企業單位內部員工的資安意識以及對於受測使用者面對社交工程攻擊與惡意訊息時的防護與警覺能力，三甲科技提供社交工程演練檢測服務。

透過簽訂保密合約，在安全的範圍內由本團隊利用社交工程之實施，提升單位員工的資安意識及對於網路安全防護之警覺性。

社交工程演練流程

為什麼需要社交工程演練?

隨著網路的發達普及，電子郵件與簡訊早已取代傳統紙本郵件，並深入人們的日常生活作為業務聯絡與訊息傳遞的主要媒介之一。

但電子郵件與簡訊同時也成為了惡意攻擊者進行網路攻擊的一大媒介，許多駭客透過網路釣魚替目標主機植入木馬，進而竊取機敏資訊，造成組織企業龐大的損失。

然而這往往都是來自於企業員工對於資安事件地不熟悉而造成的人為疏忽，因此，為有效提升內部員工的資安意識，透過三甲科技的社交工程演練能有效提升企業整體對於資安事件之警覺性。

什麼是APP安全檢測?

依據OWASP MOBILE TOP 10、行動應用App基本資安檢測基準等規範，針對iOS/Android平台之App進行檢測。

透過多種檢測工具針對App進行解譯、反編碼程序等分析，並評估其內容是否有機敏資訊洩漏或違反規範等風險。除了檢測App本身是否含有漏洞風險之外，為確認App傳輸之機敏資料確實受到保護，降低敏感資料在行動裝置傳輸時外洩的機會。三甲科技會針對App使用進行封包攔截，並詳細分析內容是否符合上述標準。

最後，透過檢測結果產出測試報告，讓受測單位了解自身App封包傳輸的安全狀況。

APP檢測流程

為什麼需要APP安全檢測?

隨著智慧行動設備與無線寬頻網路的普及，許多企業近年來開發專屬行動App讓客戶與員工能在任何地方、時間取得企業中的豐富資源，提供更即時、更高效率之服務。

正因如此，許多駭客也看上一波App使用風潮，透過植入惡意程式進入App或是攔截未妥善保護機敏資訊的App傳輸，進而取得企業內部資訊或是使用者個人資料，造成公司的損失。

因此，透過檢測工具以及人工進行封包攔截分析，並產生出測試報告提供受測單位進行修復是必然的，以確保公司整體營運能維持在一定的資安高度。

什麼是源碼檢測?

所謂的源碼檢測指的就是白箱測試，遵循OWASP TOP 10、SANS/FBI及CWE等各項國際標準規範，針對各項主流之程式語言進行弱點掃描。

透過應用系統進行整合性測試，確保傳輸連線、加密編碼方式以及敏感資料是否已妥善防護。避免因程式碼邏輯衝突產生安全漏洞隱憂或是避免網站及應用系統遭受攻擊、入侵。

最後，再根據檢測結果提供適當的修復方案建議給客戶，確保客戶端所提供之服務能進一步保障用戶敏感資料。

源碼檢測流程

為什麼需要源碼檢測?

隨著科技日益發達，許多企業也逐漸提供各種資訊化的服務，伴隨著這些服務的成長，許多資安方面的議題也漸漸被重視。

面對日新月異的攻擊手法，若提供的資訊化服務沒有完善的經過檢測就上線提供服務，恐遭駭客進行惡意攻擊。像是位於資訊威脅排行榜的前兩名SQL 注入攻擊以及XSS注入攻擊，都是因為人為的疏忽而造成機敏資訊外洩，甚至影像到公司整體營運狀況。

因此，為了提升資訊化服務的安全性，針對該服務進行源碼檢測是必然的，透過檢測結果並進行修復，藉此降低該漏洞遭到利用之風險及提升公司整體營運之安全性。

什麼是ISMS導入?

ISMS(Information Security Management System)是一套有系統地分析與管理資訊安全風險的方法。透過制度化的控制方法，把資訊風險降低到企業可接受的程度內，以風險管理的觀念保護企業中資訊資產的機密性、完整性及可用性。

透過國際標準化組織ISO(International Organization for Standardization)所發布的ISO 27001資訊安全管理框架，協助企業組織管理和保護資訊資產，確保其安全無慮。

ISMS導入流程

為什麼需要ISMS導入?

資訊是一種資產，對於企業而言，資訊必須如同其他重要資產一樣受到保護。而資訊可以許多不同的形式存在，可以書寫於紙上、儲存在電子設備中或是利用影片進行儲存。但不管任何形式的資訊，或是儲存的方式為何，都應該受到適當的保護。

三甲科技為提升客戶企業單位整體競爭力及形象，確保企業中資訊資產之機密性、完整性與可用性，將協助客戶導入ISMS以及通過ISO 27001認證，透過一系列的流程為提升企業資訊安全管理之綜效，有效控管組織內資安風險。

什麼是資安教育訓練?

企業中除了專業的IT人員須具備資訊安全的能力之外，一般行政人員或管理者都應該需要具備足夠的資安意識。為了瞭解網路駭客犯罪的技術，需知己知彼才能避免單位內的漏洞變成攻擊的對象。

為提升企業單位之整體資安能量，三甲科技提供客戶多樣化資安教育訓練，包括資安意識演講、資安攻防實例分享、安全網站程式開發課程、弱點檢測應用實務課程、個資防護教育訓練課程及其他客製教育訓練服務等。

資安教育訓練流程

為什麼需要資安教育訓練?

網路威脅與攻擊日趨漸增，造成許多企業單位出現高風險的資安問題，導致公司聲譽的損失以及營運的影響。這些威脅與攻擊的成因，往往都是來自於「人」的因素而產生的，大多數的人對於所謂的資訊安全只停留在似懂非懂的階段。也正因為缺少資安意識，導致企業內的員工經常成為駭客進行攻擊的標的。

因此，為了提升整體企業單位的資安能量，資訊安全必須從「基礎」做起，當企業中所有的人對於資安有了一定瞭解後，自然能保持在一定的資安等級。透過三甲科技所設計的資安課程，由淺入深的的多樣課程內容可供選擇，為企業單位的員工建立正確且精實的資安觀念。

什麼是壓力測試?

三甲科技透過高靈活與高擬真度的測試劇本，能在模擬真實狀況下得知網站系統的最大同時連線數、平均回應時間及網路吞吐量等效能表現數據，更能經由專業團隊分析的測試結果報告，釐清當前網站系統所面前之瓶頸點，在自我檢視之餘亦可得知未來欲優化之調校改進方向。

壓力測試流程

為什麼需要壓力測試?

在逐漸重視消費者體驗的現今，各式概括民眾食、衣、住、行、育、樂的網站平台如雨後春筍般出現，改變了人們生活的型態。而這些看似便利的網站，能否承受大量使用者同時使用卻不崩潰？又或者會因為系統平台的效能不佳，影響到使用者的操作體驗呢？明白而且擔心這些問題，卻不知道自己的網站夠不夠力？

紅隊演練服務

以攻擊方的視角來檢測企業的整體資安防禦能量，經過企業授權後，由三甲科技檢測團隊模擬真實駭客攻擊的戰術、技術和程序(TTPs)針對企業的系統，無所不用其極地試圖攻破其邊界防禦與相關佈署盲點，並嘗試取得特定系統或資料的存取權限；企業則得以利用紅隊演練進行企業環境之資安風險評估，除了驗證防守方的偵測與回應能力，亦能達到主動識別並嘗試修復安全漏洞的目的。

精準資安顧問服務

從眾多資安服務項目中取捨，經過三甲資安專家顧問綜合評估過後，找出最適切企業需求的資訊安全解決方案，從痛點著手，為企業量身打造，以有限的人力、資源，導入合適的資訊安全解決方案，循序漸進地建置出符合企業需求、成本考量的資安防護計畫。

資訊安全顧問服務

以企業的資安現況與現有的人力、資源提供短、中、長期的資安防護建議，協助規劃軟、硬體設備的更新或汰換計畫，與企業進行相關資安檢測服務的必要性討論與檢測執行安排，並協助企業解讀專業報告，提供企業進行安全性漏洞修復的具體方針。

網路滲透服務

三甲科技檢測團隊以駭客思維嘗試透過滲透測試手法，找出企業內部網路環境中可利用的安全漏洞，以發掘潛在的安全性弱點，並於檢測後提供相關修復與改善建議，提供企業進行修補與加強網路環境之具體方針。

DDoS攻擊演練服務

1.DDoS攻擊應對流程演練服務協助企業規劃與檢視其面對分散式阻斷服務(DDoS)攻擊時的處理應變程序是否適切及有效，以評估企業在面對DDoS攻擊時的流程應對與通報能力。

2.DDoS攻擊流量測試服務協助企業以消耗網路頻寬的手段，針對目標模擬流量型分散式阻斷服務(DDoS)攻擊，確認企業的DoS/DDoS防禦機制(如，流量清洗服務、防火牆policy等)在遭受大規模流量攻擊時是否得以正常啟用。

攻防演練服務

透過模擬攻擊紅方和防禦藍方的情境，培養企業安全團隊的資安攻擊應對能力，強化其因應資安威脅的危機處理與應變能力。

紅方為執行攻擊性安全測試的專業人員，他們透過模仿實際攻擊者使用的工具和技術來測試組織的安全性；藍方為企業內的安全團隊，負責保護企業免受攻擊紅方成員的攻擊。演練中紅方必須試圖繞過藍方的防禦，同時避免被偵測阻擋，藍方則必須即時監控相關入侵跡象，並且進行緊急通報與應變。