資安服務
滲透測試
滲透測試服務主要協助企業客戶驗證與測試內外部資訊系統的安全強度、瞭解受測目標面臨的安全性威脅、發掘潛在資安問題,並提供整體資安改善建議方案。
• 符合政府法規、業界標準及客戶要求
• 早期發掘網頁、資料庫、應用程式、作業系統、網路及密碼強度等安全弱點
• 檢視現有流程之安全缺失,並進行調整
• 改善與強化安全政策與防護機制
• 提升整體營運環境資安品質,增加客戶信賴度
滲透測試團隊
滲透測試方法
執行滲透測試
評估與結案階段
紅隊演練
安華聯網提供的紅隊演練服務,不只著眼於單一系統的安全防護強度,並且強調企業邊界網路的防護廣度。以情境為導向的演練目標設定,由安華聯網擔任攻擊方(紅隊)的角色,整合情資蒐集、漏洞工具及駭客攻防等技術,驗證企業資安維運團隊(藍隊)對於網路攻擊的偵測與回應能力。
• 各個攻擊階段所採取的戰術與戰技,嘗試與蒐集到的情資結合,成功侵入對外伺服器。
• 嘗試在企業內部網路橫向移動,直至取得指定目標伺服器的控制權限。
• 將攻擊流程與手法可視化,把演練過程所發動的攻擊行為與現有防護設備的日誌紀錄進行比對,找出資安防護可持續精進的部分。
• 安華聯網團隊成員共發現超過40個以上的零時差安全弱點(CVE),並在 DerbyCon 及 Code Blue 等國際資安會議發表過資安研究,其漏洞挖掘能力與攻防技術具國際水準。
• 擁有多間金融與科技製造業客戶,執行紅隊演練實績,服務能力與經驗備受肯定。
企業資安健診
針對網路、系統及人員等面向,提供360度全面向的資安檢測服務與顧問諮詢服務,藉此強化資安管理制度,並解決資安防護問題,防範潛在的威脅和攻擊,確保企業整體的安全性。
針對網站、主機及連網設備等,進行弱點檢測,掃描是否存在已知CVE安全漏洞,與設定不當所造成的安全問題。
• 惡意程式檢測
檢視個人電腦與伺服器主機是否存在惡意程式。
• 系統設定與更新檢視
依「政府組態基準」所公布安全性檢視之內容為主,以確認機關對於組態設定之落實。
• 網路架構檢視
透過網路架構圖呈現網路現狀、網路設備與伺服器的相對位置區域和其IP配置,以供系統管理者未來管理使用。
• 網路惡意活動檢視
透過網路封包監聽與網路設備記錄檔分析,瞭解組織網路是否有異常連線狀態。
• 電子郵件社交工程
模擬駭客釣魚郵件,檢測員工的資安風險意識及進行行為分析,並提供教育訓練,降低人為失誤造成的資安風險。
• 結合自動化工具與人工分析作業,提供專業健診報告與修正建議。
• 擁有深度檢測技術與專業顧問團隊,具政府、金融、工控等產業資安經驗。
• 彈性化資安健診服務,根據客戶現況及需求,提供客製化方案選擇。
DDoS攻防演練
模擬真實駭客攻擊 驗證系統抵禦能力 近年來攻擊者經常使用分散式阻斷服務(DDoS)攻擊,嘗試癱換目標網站,導致使用者無法連線到該網站,造成服務中斷與財務損失。為保護使用者個資與線上交易網站能正常營運,企業需定期執行滲透測試與DDoS演練,確保現行的資安防護機制能正確運作,以阻擋攻擊者的攻擊行為。安華聯網提供分散式壓力測試服務,我們的資安團隊可模擬真實駭客攻擊,能同時間控制超過1,000台來自全球34個國家的主機進行DDoS攻擊,同時執行多種第四層與第七層網路攻擊手法,並根據客戶的需求設計自定義執行時間長度、流量大小、連線數量及封包內容,最高可達到同一時間500G到1T的流量。無論是驗證系統對於DDoS攻擊的承載程度,或是進行使用者連線數的壓力測試,安華聯網都可提供客戶最完整的網站安全檢測服務,滿足越來越嚴格的資安要求。
• 可同時控制至少1000台主機
• 自動與VPS平台連線新增攻擊主機
• 可自定義攻擊劇本
• 支援14種攻擊手法
• 每秒最多可發生1000G bit資料量(第四層)
• 每秒最多可建立200萬個連線(第七層)
• 存取控管機制
• 主動式停止機制
• 被動式停止機制
• 流量偵測機制
產品安全評估
• 產品資安教育訓練
• 產品資安檢測服務
• 避免成為駭客攻擊的目標
• 全面提升產品安全性
• 網通產品、行動裝置、安控、智慧家電、智慧汽車及物聯網等連網產品皆適用
資安合規
無論是資安合規要求、資安管理、資安架構檢視、或是軟體安全開發成熟度評估,安華聯網皆能提供相對應的解決方案,例如:資安管理的建立、產品安全開發生命週期(設計、開發、安全測試到部署)之解決方案,可協助廠商建立資安管理制度及產品安全開發流程系統,以降低風險並減少資安事件的發生。 安華聯網除了可提供廠商資安稽核服務並產出評估報告外,也提供後續資安改善暨合規符合性檢視服務,以協助廠商快速取得產品國際資安證書,例如: FIPS140、GDPR、ISO/IEC 27001、IEC 62443系列、ISO 15408、ISO 27034、NIST 800系列、DevSecOps 等。
• Common Criteria 產品安全認證輔導
• 歐盟個資保護 General Data Protection Regulation (GDPR) 合規輔導
• GDPR 歐盟代表代理服務
• ISO 21434 車聯網安全認證輔導
• ISO 27001 資訊安全管理制度輔導
• IEC 62443 工業自動化系統資訊安全合規輔導
• MDR/MDCG 醫材設備資安規範
• SWIFT CSP 金融資安合規評估
• 檢視現有開發流程之安全缺失,並進行調整
• 導入業界標準與方法論,自管理面、流程面及技術面提升整體軟體安全開發環境
• 提升整體開發環境資安品質,增加客戶信賴度
資安教育訓練
安華聯網提供多種的資安教育訓練,從資安意識、安全開發、安全測試等方面,自不同的訓練類別中滿足不同組織的特定需求。安華聯網的授課講師均有多年的實務經驗,透過趨勢、案例、及實機操作等,讓學員能夠在課堂中獲得最新、最關鍵的經驗與知識。
• 網路滲透測試,含實機操作
• 網站安全檢測與防護,含實機操作
• 軟體安全開發
• 硬體安全測試,含實機操作
• 惡意程式分析,含實機操作
• 逆向工程分析,含實機操作
• 社交工程防護