English

專業滲透測試 有備無患迎戰駭客


地球很危險,難道要返火星?

駭客攻擊的新聞無日無之,旅行社、寬頻公司等亦接連中招,數以十萬計的客戶資料被盜。不想資料長期岌岌可危,你需要專業的保安團隊事先為系統進行「滲透測試」,防止駭客有機可乘。

客戶背景

本港某間小學,多年來沿用三套電腦系統管理網站和行政工作。長年使用的電腦系統中載有大量敏感個人資料,包括歷年學生的住址、成績、家長職業、員工薪金和出勤紀錄等,極需保密及設防保護。校方想檢測這些系統有沒有漏洞,以適時更新和堵塞缺口,但卻苦無專門技術支援。加上進行測試及系統改善的時間有限,負責單位有感力不從心,不知從何入手。

面臨挑戰

網絡攻擊日新月異,很多人卻錯誤地以為密碼便是足夠的保護,不知道其實電腦系統中潛伏很多未知的漏洞。病毒軟件WannaCry、Petya肆虐全球,正正是利用漏洞乘虛而入,輕則被勒索數以萬計的金額,或被「撕票」,令資料永遠上鎖,重則系統內的保密資料被洩漏或非法使用。

學校資訊科技主任Steve說:「惡意軟件攻擊近年急升,早前又有學校中招,我們學校十分關注,不想自己都被殺個措手不及。」事實上,駭客將事主的檔案加密後進行勒索,例子多不勝數。Steve續說:「就算學校能夠修復檔案,那些個人資料九成已經被出售。」

滲透測試是主動保護自己的最有效方法。透過委托第三方嘗試入侵機構的系統,發掘系統潛在缺陷,再針對弱項作部署,及早化解風險。滲透測試逐漸已變得普遍,一些政府部門每半年便做一次測試,確保滴水不漏。「其實就像定期的身體檢查,若待發病才就醫,必然事倍功半。」Steve這樣形容。「我們學校的電腦系統沿用多年,相信必定會因過時而加添被駭危機,所以這次檢查事在必行。另外,時間是我們需面對另一個挑戰。所有測試及系統改善必須趕及於暑假內完成,增加了難度。」

UDomain的工作

為找出該小學電腦系統的安全缺口,UDomain的專業保安團隊先與校方開會,了解客戶需要和工作範圍,以及確認入侵測試的時間,避開繁忙時段。保安團隊先用專業軟件掃瞄搜出漏洞,再代入駭客思維逐一入侵,測試結果令人大吃一驚。

學校行政系統或網站伺服器的防衛都不堪一擊,雖有密碼保護,但保安團隊輕易就駭入管理帳號,取得權限查閱敏感資料,要修改網站和資料庫內容也不費吹灰之力,甚至能控制其伺服器,再作進一步行動。若然校方未有及早發現,這些敏感資料便很容易洩漏,甚至被駭客勒索或刪除,嚴重損害各方權益,也令學校聲譽受損。

團隊在測試後提供了詳盡報告,解說需要修補的漏洞。亦會進行複檢,確保萬無一失。「老實說,看到報告我也大吃一驚。就算作為IT人,也未必能夠在日常工作時發現這些問題,交給更專門的人員是負責任的表現。」Steve說道。

使用 UDomain 滲透測試的理由

  • 發掘漏洞保護資料

    不少教育機構、銀行、醫院、社服機構的系統都載有大量敏感資料,故常成為駭客入侵對象。為了竭盡所能保護這些資料,對網絡安全應有嚴格要求,不然就無異於把服務對象置於刀口上。集團式駭客勒索已變得極為常見,但駭客多潛伏海外,無法追查和制裁,連報警也徒勞無功。事先進行治本的滲透測試,可以防止駭客有機可乘,保護自己。

  • 彈性收費降低成本

    並非每一所機構都有充裕的IT預算、技術水平或時間來測試系統安全。然而,若出事後才修復系統或者繳交贖金,代價必然更大,更可能因未符合法例要求保護資料而面臨巨額罰款(如歐盟《通用數據保障條例(GDPR)》)。更何況聲譽無價,一但受損,並非能輕易復修。UDomain收費合宜,更採彈性模式收費,有助客戶更方便地加強資訊安全。

  • 專業認證明白需要

    滲透測試講求測試者的資歷,需要解讀掃瞄和提供建議,並非隨便一間公司都有能力提供。UDomain團隊持有進行滲透測試的OSCP專業認證,並有多年實戰經驗,深深明白中小企及不同機構的需求和難處。

  • 一站服務隨時候命

    有別於只專注某個範疇的科技公司,UDomain提供全方位服務,不但提供高效專業的測試和詳盡報告,完成測試後可以因應需要安排後續服務,包括網站寄存、防火牆及一次過處理程式漏洞,更提供7x24全天候技術支援,為您的客戶和資訊系統作堅實的護盾。

Steve說:「大家出街會鎖門,但無形的資訊安全卻易被忽略。UDomain保安團隊在整個測試過程都高效專業,沒有對日常運作造成影響,報告和後續服務也很貼心,等於將煩惱外判,交給專業的UDomain果然是正確的選擇。」

小結

資料防護與網絡安全已是全球性的問題,誰都有機會在下分鐘中招,不想成為下一個受害者,你需要專業的滲透測試,未雨綢繆則有備無患,作為一家紮根香港的一站式網絡保安管理專家,我們必竭盡所能提供全面的測試和跟進,保護你存有的敏感資料,令你和你的客戶都安心放心!

使用過的服務

Messenger chat Bot
hardware-wallet
hardware wallet