網路資安實驗室
在物聯網時代,網路安全是企業的關鍵潛在風險,管理不良可能導致難以預測的巨大損失。無論是生活或辦公室周遭,任何連接到網路的設備都有可能被駭客入侵,近幾年來智能/物聯網設備更是駭客網路威脅的新目標。
百佳泰的網路安全解決方案將協助您有效防範來自網路上的各種資安攻擊、威脅或甚至是惡意的網路犯罪。
您的網路資安應該注意哪些項目?
- 網路與相關的周邊安全
- 端點防護
- 應用程式安全
- 數據安全
- 身份和訪問管理 (IAM)
- 零信任架構
如何準備並確保您的網路資安?
- 定期接收來自 OWASP 協會發佈的關鍵安全議題。
- 快速且全方位的進行網路安全防禦,由於網路世界的發展極快,需要注意的關鍵問題與安全漏洞時常會發生意想不到的變化。
- 諮詢百佳泰,我們的網路資安方案是參考 OWASP 和相關協會發佈的物聯網資訊內容定義,我們的解決方案涵蓋最關鍵的安全風險項目和用戶情境模擬。
你可能成為下一位受害者 – 駭客的主要目標對象
聯網智能車
小心:您的智能車可能已經被駭客入侵!
我們每天都使用大量的聯網設備或車輛,如果我們忽視對產品的網路資安驗證,您的消費者可能會面臨重大且可能危及生命的問題。
網路資安有非常廣泛的定義,在汽車行業中,T-Box是V2X(Vehicle-to-everything)的關鍵點之一,它負責處理車聯網平台與外界進行通信,同時它也是品牌商需要注意的關鍵防護重點!。
驗證關鍵三大重點
1. 服務穩定性
2. 數據安全
3. 硬體實體等級的安全性
車輛的網路資安弱點
車聯網服務 (資料存取)
安全性不足的生態圈介面
Tbox 硬體 (實體存取)
不安全的數據傳輸與存取
缺乏物理加固措施
Tbox 韌體 (資料存取)
缺乏安全更新機制
不安全的網路服務
易於猜測或寫死的弱密碼
使用不安全的過時元件
隱私保護不足
缺乏妥善的裝置設定
不安全的默認設置
聯網設備
事先備妥您的安全驗證,避免資安機密憾事發生!
網路資安同時也會影響您所有使用網路射頻相關的設備。 我們的目標是在潛藏的網路威脅發生之前,先進行防禦行為。
百佳泰提供經驗豐富的諮詢和定制測試服務,包括漏洞掃描或滲透測試。
我們保護組織免受洩露和敏感數據的洩露。
風險等級
風險內容與評估
可能造成嚴重損害
開發過程可能會導致預計外的使用者權限提升
開發過程可能會導致大量數據遺失或停機
驗證重點
弱密碼、易猜測密碼或寫死的密碼
不安全的網路服務
不安全的生態系統介面
風險等級
風險內容與評估
駭客有機會利用社會工程學方式攻擊個人用戶
允許駭客運用漏洞躲藏在與受害者相同的本地網路中
有可能嚴重影響致限制系統登入等級的漏洞
需要使用者權限才能成功登入的漏洞
驗證重點
缺乏安全更新機制
使用不安全或過時的元件
隱私保護不足
不安全的數據傳輸和儲存方式
不安全的默認設置
風險等級
風險內容與評估
有限度的對組織或企業產生影響
需要本地或實際的物理系統存取操作
僅產生些微的數據遺失或外洩
驗證重點
缺乏設備管理
缺乏物理加固
百佳泰網路資安驗證內容
黑箱檢測 (網頁弱點掃描)
模擬駭客入侵攻擊模式,採取不同攻擊模式,針對不同的目的找出網站上的漏洞,並提供資安報告。
白箱檢測 (程式原始碼掃描)
源碼檢測提供一次正測及二次複測並交付文件,合計共產出檢測結果報告三份。
滲透測試
URL滲透測試,包含初/複掃各一次,詳細漏洞說明及修補建議書面報告及複檢、遠端修補諮詢顧問服務。
系統弱點掃描
識別允許遠程攻擊者訪問敏感信息的漏洞。
檢查系統是否具有最新的軟體修補程序。
在系統帳戶上常是使用默認或常用密碼,漏洞分析,產製報告。
*所有檢測報告均符合業界標準規範報告 (FISMA, GLBA, HIPAA, SOX, DISA, PCI-DSS等)及法規相符性報告(OWASP, WASC, NERC CIPC, ISO 27001, ISO 27002, NIST, CWE/SANS等)
驗證重點
驗證項目
1.
弱密碼、易猜測密碼或寫死的密碼
列舉用戶名
弱密碼
已知的默認憑證
不安全的密碼儲存與恢復機制
2.
不安全的網路服務
不需要或不安全的網路/無線服務
允許未經授權的遠程控制
授予未經授權的權限
3.
不安全的生態系統介面
不安全的 Web、後端 API 或手機介面
弱加密
DNS緩存中毒
既有的系統後門
4.
缺乏安全更新機制
缺乏韌體驗證
缺乏安全傳輸
缺乏防回滾保護機制(auti-rollback)
缺少安全更新通知
5.
使用不安全或過時的元件
已棄用或不安全的軟體元件/資料庫
操作系統平台的不安全機制
6.
隱私保護不足
SSL Striping 攻擊
弱演算法
不當存儲個人資訊
7.
不安全的數據傳輸和儲存方式
明碼/寫死的使用者名稱或密碼
明碼/寫死的第三方憑證
明碼/寫死的加密密鑰
8.
不安全的默認設置
具有已知安全問題的默認設置
可以通過安全問題更改設置
9.
缺乏設備管理
更新管理
設備安全退役
系統監控
10.
缺乏物理加固
硬體敏感數據洩露
硬體篡改檢測