打造網站資訊安全!

【資訊安全】捕夢網數位科技 x 天矽科技 網頁設計|網路資訊防護需更加重視
【資訊安全】捕夢網數位科技 x 天矽科技 網頁設計|網路資訊防護需更加重視

 

時代更迭,企業逐漸將線下事業轉向線上經營,其中的資訊安全更是逐漸且不斷地被重視。本次藉由與捕夢網數位科技的資安交流會議,強化資安概念及危機意識,由天矽科技推廣給更多企業了解!

捕夢網數位科技

捕夢網主機

 捕夢網數位科技於2003年創立至今,是一間從網路主機代管起家的台灣知名主機服務商,服務內容包括主機服務資安服務雲端服務等,同時也是與天矽科技長期配合的企業之一。

 「資安服務」是捕夢網近年來逐步轉型踏入的領域,像是代理國內外各家廠牌的SSL憑證、獨家代理來自資安強國以色列的軟體式WAF程式防火牆、網站/系統弱點掃描、能夠偵測伺服器行為的Deep Security 以及能防止勒索病毒的Sophos,打造加密、偵測、過濾、阻絕的全方位網站安全環境。

 

捕夢網資安團隊

 捕夢網的資訊安全團隊資歷完整,擁有 ISO27001《資訊科技—安全技術—資訊安全管理系統—要求》的資安國際標準認證。團隊同仁各分別取得不同領域的國際級資安認證,其領域包含風險分析、事件應變、滲透測試、道德駭客認證等。

 

為什麼要做資安

 

「資訊安全一直是大家知道很重要,卻常常被忽視的議題。」


 天矽科技接觸過許多有架站需求的業者,多半會提出功能、設計風格...等需求,但對於資訊安全卻輕描淡寫的帶過,甚至略而不提。

 我們拿汽車保險來比喻資安防護好了,多數車主都覺得自己不會那麼倒楣,我那麼小心那麼注意,怎麼可能發生事情?同理,業主大多覺得自己不會那麼倒楣,或是沒必要也不願意多花預算。

 事實上,只要一開始沒做資安,等到事件發生後,就會需要花更多的工程、時間、力氣與金錢!不過,至於要不要做資安防護這件事,還是要請業主自行斟酌考慮,我們可以透過分析優劣的方式來決定是否要這麼做。

捕夢網主機分享資安

▲ 捕夢網資安問題分享

 

 注意!任何資安防護並非安裝完畢就一勞永逸無須維護更新,反之,更應該定時更新、偵測和維運!這是因為駭客手法持續的與時俱進、日新月異、防不勝防!並且資安風險就像病毒一樣會一直變異,現在沒問題不代表以後沒問題,且攻擊手法不僅限從「網路」進行,從系統端、PC端、伺服器端都是有可能的。唯有不斷進行防護,才能降低風險發生的機會!

 簡單來說,資安就是「不怕一萬,只怕一萬!」我們只能盡其所能地做好防護。

 此時捕夢網還強烈的表示...

家裡遭小偷,客人會找房東、找房仲嗎?不會!
但是當網站發生資安問題時,業主大多都會直接找上主機商或是網頁設計公司!為什麼呢?

其實資安問題是每個客戶、業主需要積極重視的問題,資訊安全就像一道鎖,業主願意多少錢在資安上?

像PChome、Momo購物網等大型電子商務平台,每年都會花費不低的資安維護預算,雖然小型的電子商務或許無法負擔高額資安成本在這上面,但仍需居安思危、避免事後補救的窘境。


弱點掃描服務

▲弱點掃描服務

 

資安威脅感染途徑

 資安威脅的感染途徑通常為:社交工程網頁掛碼漏洞攻擊包惡意廣告殭屍網路

 駭客都會利用合法途徑掩飾非法情事,像是會將病毒程式偽裝成「多數人不會提防」的檔案格式,如:公司人資送出的薪資調整公告。因為跟自己有高度的相關,寄件者又來自公司內部的信箱,當員工自然會不疑有它的開啟信件,這樣一來,就容易造成公司電腦中毒,又或是主動為駭客開啟一道進入公司內部資料庫的大門。


模擬駭客攻擊手法

▲模擬駭客攻擊手法


勒索加密病毒

▲勒索加密病毒案例


洩漏訂單個資

▲洩漏訂單個資案例

 

資訊安全建議

 

 捕夢網資安團隊建議,如果有遇網站改版就需要執行弱點掃描(弱掃),嚴謹一點的企業,基本上三個月會執行一次,一般來說半年一年就會建議執行弱掃檢測,避免漏洞衍生後續的風險。

 目前使用的弱點掃描工具有「系統弱掃Nessus」 與 「網站弱掃Acunetix」,其中Acunetix的最大特色在於產品不斷的更新,因此可以找出最新手法及利用盲測來偵測可能的風險,並加以修補漏洞。


▲弱點掃描服務流程

 

 捕夢網更再進一步建議,網站基本要做到「WAF程式防火牆」、「IDS入侵檢測系統」與「EDR端點偵測回應」三項,才算做到基本的安全防護。當然弱點掃描也是不可或缺的一項服務。

 其原因在於,駭客只會埋伏在有意義的時刻發動攻擊,像是在旺季、熱門時刻、活動進入高潮時,才會綁架網站、主機或資料庫;其中 EDRIDS 就是在防範於未然,這兩者就像是網路上的監視器,能夠監視、調閱Log以外的足跡,並提早發現提早解決!

  • EDR端點偵測回應(Endpoint Detection and Response)
    主動、即時監測端點,針對具有威脅跡象的活動收集資料,並將已識別的威脅自動回應、移除或阻擋威脅,並主動向安全人員通知已偵測到威脅。資料來源:vmware

  • IDS入侵檢測系統(Intrusion-detection system)
    監控網路傳輸或系統,可監視來自系統內、外的攻擊,檢查是否有可疑活動或違反企業的政策,監測到時會主動發出警報或採取反應措施。資料來源:維基百科

  • WAF程式防火牆(Website Application Firewall)
    利用監控網站傳輸的HTTP流量,對比病毒、惡意程式資料庫來過濾出可疑的流量,將惡意可疑的流量擋在門外,保護網站不受到惡意的攻擊。資料來源:天矽WAF

工程人員技術提問交流

▲ 工程人員技術提問交流


捕夢網與天矽科技

▲ 捕夢網與天矽科技的資安分享會

 

share FB LINE
看天矽作品集 回上一頁

技術支援

延伸閱讀

ID:@323foylw