【Linux & OSS Award 2018 回顧】最佳專業保安服務方案 ICON 漏洞評估服務
市場需求
近年來企業對資訊安全的思維已有所改變,產業對於機密、敏感的資料防護外洩的重視程度,比以往更高。此外企業亦開始了解到,基本防禦根本無法完全阻絕攻擊。市場研究機構 IDC 預測到 2021 年,全球對網路保安產品及服務的支出,將會達到 1,200 億美元。
得獎方案
iCON Business Systems Ltd. 在資訊安全領域已有超過 30 年的經驗,一直代理不少著名資訊安全產品,近年更成立了 CIA (Cloud Integrated and Advanced Solution) 團隊,協助企業對抗曰益嚴重的各種保安威脅,並開始提供漏洞評估 (Vulnerability Assessment) 服務。「漏洞評估服務顧名思義,即檢查客戶現有的系統中的作業系統、資料庫、DNS、FTP、郵件系統、各科網絡基建(防火牆、交換器及路由器)、針對手機開發的應用程式和外部連結等,是否有弱點可供黑客攻擊利用,然後找出潛在的風險,並協助客戶進行修正。」iCON 技術總監戴兆偉說。
得獎原因
技術創新
1. 對資訊安全工具有深入認識
工欲善其事,必先利其器,進行漏洞評估時亦是如此。「漏洞掃描通常使用自動化工具對系統進行檢測,找出所有已知的風險。這種測試比較依賴程式本身的品質,不同廠牌、不同種類的規則,都會有不同的結果。」戴兆偉說。「因為是程式自動化掃描,可以一次做大規模數量的掃描,但也較易出現誤報的情況,同時可能無法提供修補建議。作為資訊安全顧問,我們熟悉市面上常見的開源和專屬工具,包括入侵檢測工具Snort、Suricata、Kismet,系統狀態檢測工具 Ntop、Nfsen、OpenFPC、Nagios、OSQuery,漏洞檢測工具 NMAP、OpenVAS 等等,了解這些工具的優點和缺點,並因應個別情況,採用最合適的組合,實施完整的資訊安全檢測。」
2. 具專業資格的技術團隊
自動化檢查所提供的報告,往往只有受過專業訓練的技術人員才能明白,因此 iCON 的 CIA 團隊成員都擁有專業的保安資格,包括 CISSP (Certified Information Systems Security Professional) 和 CISA (Certified Information Systems Auditor)。「CISSP 是一個中立認證的資訊保安資格,涉及的知識不限制於任何方案生產商。CISA 是國際認可的IT審計師,負責以中立角度,審核現行的 IT 系統,找出未被管理層覺察的漏洞及風險。」戴兆偉說。
商業效益
1. 滲透測試找出漏洞
iCON 是市場上少數能同時提供漏洞評估及渗透測試(Penetration Test)的服務供應商之一。「滲透測試是非常細微的工作,無法一次過做大規模的檢測,因此通常的做法是先用自動化工具進行漏洞評估,再針對指定部分進行滲透測試。滲透測試需要技術人員以人工方式模擬黑客的思維,針對系統做攻擊測試,比較依賴技術人員本身的經驗以及知識。只有站在跟黑客同一個出發點對系統進行測試,才能準確的找出所有問題並進行修復。」戴兆偉說。「我們團隊成員中有擁有 CEH (Certificated Ethical Hacker)資格的專家,可從黑客的角度,徹底為客戶找出所有潛在保安問題。」
2. 確保漏洞已被處理
現代企業的 IT 基建遠較從前複雜,除了辦事處的一般 IT 基建外,在數攄中心、雲端上都有可能有其他 IT 系統。「市面上的公司通常只會提供一次評估服務,然後提交報告。但究竟客戶有沒有根攄報告改善問題,很多服務供應商基於成本上的考慮,大部分都不會再去跟進。」戴兆偉說。「我們進行首次評估後,會跟進改善進度,然後約定時間再次進行評估,一般會在首次評估的一個月後,讓 IT 基建分散、合作夥伴眾多的企業,也有足夠時間修補問題。一般而言第二次評估時所有漏洞都已經修補完成,萬一系統因為某些原因未能安裝修正檔,我們也可使用虚擬修補方式,利用虚擬防火牆轉送封包,防止有問題伺服器曝露在外。」
客戶評價
究竟什麼類型的企業需要進行漏洞評估?「基本上擁有固定 IT 基建的企業,都有這樣的需要,特別是要引入新系統的時候。」戴兆偉說。「新系統本身可能沒有問題,但上線時卻會因為打開了一些不必要的埠號,令原有的 IT 基建曝露在危險之中。特別是近期的勒索軟體橫行,這些問題不但會做成實際損失,也會嚴重影響公司聲譽和生意,所以我們建議公司每年最少檢查一次,每逢引進新系統時,也應該進行一次。」iCON 漏洞評估服務的客戶包括各大中小企、物業管理公司及多個法定團體。
iCON Business Systems Ltd.
網址:http://www.icon-info.com.hk
電話:+ 852 2748 3698
