藉由掃描工具取得弱點清單的檢測方式,企業可以藉此了解自己目前網路環境或系統上存在的弱點並加以修復,避免被有心人士利用。由於弱點隨著時間演變,定期進行弱點掃描已成必要,許多資安標準如ISO27001也將定期弱點掃描列為必要檢查項目。弱點掃描看似簡單,但就像心電圖一樣,需要有經驗的資安顧問分析檢視掃描結果,濾除假警報並確認弱點後,為企業量身訂製不同的風險檢視報告,提供最佳解決方案。
系統弱點掃描
針對作業系統、網路相關設備及一般通用軟體(如資料庫等)安全性問題進行檢測。
掃描所開啟的服務(Port),並進行弱點測試。
使用非侵入性的檢測方式(如阻斷服務)。
網頁弱點掃描
檢測常見弱點項目如SQL Injection、XSS等。
針對程式存取權限進行檢查(如:GET、PUT、DELETE)。
依據不同網頁程式碼如PHP、JSP、ASP等,進行相對應的弱點測試與檢查。
依循 OWASP Top 10 弱點檢測項目。
採用業界資安測試標準
流程
效益
幫助企業審視主機系統、網路設備、企業網站等資訊資產所存在的弱點,再透過弱點掃描報告進行後續補強或其他改善方案。
經由專業弱點掃描軟體與顧問經驗,幫助企業評估內部系統與網路安全,減少已知的漏洞攻擊機會。
協助系統管理者在有限的時間與資源內優先修補高風險漏洞,增強防禦並保障資訊資產。
透過顧問建議來協助組織修訂資訊安全政策,降低企業風險。
