滲透測試
以最真實的攻擊,
驗證企業系統安全

滲透測試服務(Penetration Test,PT)以具有駭客思維的手法入侵企業指定的網站、資訊系統、設備等軟硬體,找出各種潛在漏洞,驗證企業的資料與設備是否可被竊取或破壞,並評估安全性是否需要進一步強化

系統漏洞是吸引駭客攻擊的門戶

  • 相較於一般電腦病毒,駭客攻擊對企業更具針對性及攻擊性
  • 滲透測試是針對企業單一系統的局部健康檢查,具有不同的面向與深度
  • 定時執行滲透測試,可及早改善資訊架構弱點、提高系統防禦能力,以降低各種駭客攻擊對企業的危害

哪些系統需要滲透測試?

具備高度機敏資料個人資料的資訊系統
具有集中控管權限能直接存取大量主機的系統
與企業營運直接相關且暴露在網際網路上的系統
作為企業內外部介接重要樞紐的系統
對社會運作有重大影響力的系統

滲透測試服務(Penetration Test,PT)以具有駭客思維的手法入侵企業的網站、資訊系統、設備等軟硬體,找出各種潛在的漏洞,驗證企業的資料與設備是否可被竊取或破壞,評估安全性是否需要強化。

滲透測試的檢測項目

網路掃描

滲透測試初期,施測人員將以網路掃描工具勘查受測範圍,找尋各個網域名稱或 IP 位址是否有開放任何網路服務,並且判斷該服務是哪種類型的應用程式,再使用對應攻擊手法檢測是否存在漏洞。

弱點掃描

當網路掃描完成且辨別完畢後,施測人員可搜尋該服務是否有已知弱點,並且嘗試攻擊此弱點,或自行開發新的弱點攻擊工具,驗證該弱點是否有進一步利用價值。

參考國際標準

OWASP (Open Web Application Security Project) Web Security Testing Guide 網站應用程式安全測試專案

OSSTMM (Open Source Security Testing Methodology Manual) 開源安全測試方法指南


透過滲透測試可獲得哪些效益?

評斷組合漏洞的風險等級與利用方式

企業通常會優先修補重大風險及高風險漏洞,擱置中風險、低風險漏洞,認為此類風險較低漏洞可暫時不修復。但在攻擊者眼中,這些漏洞可能具有不同利用價值,尤其是組合利用後,往往能發現令人意想不到的攻擊鏈。 DEVCORE 戴夫寇爾的滲透測試可協助企業挖掘出這些攻擊鏈,進而瞭解各個漏洞的真實危害。

提供程式安全性改善建議

滲透測試專家可根據客戶的程式語言、開發框架、作業系統、網站功能特性提供專業修補建議,供開發人員根據當下情境使用合適的修補方式,儘快將漏洞修補完畢,避免遭到攻擊者利用。

驗證漏洞是否已修補完成

若開發人員不夠了解漏洞全貌,或錯誤判斷修補方式時,可能會採用不完整的機制修補漏洞,使得該漏洞被組合利用時,有機會產生全新的攻擊手段。透過滲透測試專家的專業複測,可大幅度降低此類狀況發生機率,確保漏洞被正確修補完畢。

為何選擇 DEVCORE 戴夫寇爾滲透測試?

DEVCORE 滲透測試有別於坊間其他滲透測試服務,由經驗豐富的資安專家手動進行,測試過程中專家會利用不同弱點進行組合式攻擊,驗證是否有任何方式可突破當前網站防禦。

真正貼近駭客想法的滲透專家

DEVCORE 長期深耕駭客資安社群,熟悉駭客思維及攻擊手法,並將最新型的入侵行為應用於滲透測試。DEVCORE 認為,資安戰火難熄,知己知彼,百戰不殆,唯有貼近駭客想法才能帶來最真實的滲透測試。

比駭客更早找到您的 0-day

我們擅長組合多重不同風險、不同面向的漏洞,最大化攻擊效果,進而找出企業從未發現的攻擊途徑。曾發佈多項國際知名產品漏洞的 DEVCORE 資安專家,將比駭客早一步找出您的 0-day 漏洞,讓您順利避開風險!

足以面對多樣目標的完整團隊編制

大型企業通常存在更多樣的攻擊入侵點,包含:網站、 App 、網通設備等各種軟硬體。DEVCORE 資安團隊編制完整,擁有各種系統、程式語言、設備滲透能力的專家,能為企業全方位評估多樣化目標中的各項安全風險。

FAQs

  • 滲透測試有什麼前置作業嗎?

    精準估價:為詳細拆解測試目標的功能與複雜度,進行估價前須請您提供系統存取方式、預計測試權限類型,讓我們能更了解檢測目標。

    時程安排:DEVCORE 將與委託單位事先溝通測試執行時間,以上班時間為主,以利重大漏洞被發現時,可由企業開發人員及時修補。同時, DEVCORE 資安專家也會主動告知測試來源 IP 位址,以便企業分辨測試來源是否合法,避免在檢測時遭到真實入侵攻擊而未察覺。

  • 滲透測試過程中是否會影響我的其他主機?

    不會,檢測時 DEVCORE 僅會依照雙方約定針對任務目標進行檢測。

  • 如何保護滲透測試所取得之資訊?

    依照雙方議定方式,決定需要取得的資訊,如:截圖佐證或取得一定筆數資料作為證據,並於演練結束後刪除所取得的資料。

  • 滲透測試的執行頻率?

    建議企業核心系統在重大變更上線前,均須執行滲透測試。

以最真實的攻擊,驗證企業系統安全

聯絡我們