♦ Web 網頁程式弱點掃描服務
「網頁程式弱點掃描服務」是利用世界佔有率第一的網頁應用弱點掃描工具IBM AppScan,對網頁程式進行掃描,經由掃描結果,找出網頁應用程式的安全弱點,提出專業的改善建議,幫助企業修補Web應用程式的漏洞,降低機密資料外洩的風險。
§ 網頁程式弱點掃描步驟與程序
(1)確認掃描環境
► 確認掃描範圍
► 確認掃描時間
► 目標網頁/網域資訊搜集
(2)調整掃描政策
網站掃描稽核軟體,主要以使用者瀏覽方式對標的網站連線測試,輔以網站弱點資料庫之資料,判斷該網站所存在之可能弱點。
(3)執行掃描
掃描軟體會對標的主機送出許多測試封包,藉以蒐集網站回傳之各項資訊,再輔以弱點資料庫之資料,判斷該網站系統所存在之可能弱點。網站弱點掃描作業流程圖如下所示:
(4)交付弱點掃描報表
本階段所產生之報表,其內容會將每一目標網站資訊、弱點之名稱、弱點之描述、修正方式,以及本弱點之風險層級,皆會詳細呈現出來,作為修正弱點之參考。交付之報表項目並可針對前次掃描結果進行弱點追蹤。
§ 主機與網頁弱點掃描服務之預期效益
(1)瞭解企業現有網路安全風險狀態
經過弱點掃描後,企業可以瞭解網路上的主機到底存在哪些安全漏洞,往往許多入侵事件可能是因為不同的安全漏洞才造成的,因此配合安全漏洞修補後可以大大降低被入侵的機會。
(2)瞭解需要採取哪些修正及調整措施
經過弱點掃描後,企業可以知道相關漏洞要如何修正或改善。但是有時可能會碰到因為應用程式之需要而無法改善或者協力廠商也無法協助的狀況,我們將視情況協助提供調整之措施。
(3)瞭解需要加強哪些網路安全防護機制
一般而言,每個弱點都會有其相對應的修正或改善方式,而這些方式都會在弱點掃描報表附上,且本公司之網路弱點掃描評估與洽詢服務,將會提供企業整體性的建議,以協助加強企業之網路安全防護機制。
(4)降低未來發生網路入侵及攻擊事件的風險
我們知道安全漏洞是層出不窮的,因此執行網路弱點掃描稽核是必要任務,而且也是定期性執行之任務。而所使用之弱點掃描工具在每次掃描執行時,技術安全顧問會將之升級至最新之弱點知識庫以檢查出最新的安全漏洞。企業若能有效地改善這些嚴重的漏洞,將可以有效地降低未來發生網路入侵及攻擊事件的風險。
(5)做為內部網路安全稽核之參考依據
由於本專案為實地安全弱點稽核,所以可以掃描出企業的內部網路安全漏洞,經過不同階段的弱點掃描後,企業可以瞭解系統的安全漏洞改善狀況。
