國內少數基於長期研究黑帽駭客攻擊手法,提供滲透測試服務的戴夫寇爾(DEVCORE),公司成立五年來逐漸在企業端打響名號,以產出真正具參考價值的報告著稱。
戴夫寇爾執行長翁浩正說,坊間滲透測試服務只花一個星期執行完成的專案,戴夫寇爾卻往往要兩個月時間,主因即在於99%工作皆須仰賴專業技術人力來執行。
當然,翁浩正身為營運者,很清楚人力資源耗費過多,恐不利於公司擴展,但為了堅持提供高質量的服務,卻不得不有所取捨,因此在專案的承接方面,只能求精、無法增量。翁浩正笑著說,「畢竟我們當初設立公司的初衷,並非只以營利為主要目的,也是為了改善本土資安環境。雖深知堅持理念有礙於經營,但我認為必須做對的事,團隊們也都秉持相同理念執行專案,才能在企業端建立口碑。所幸儘管我們的滲透服務收費較同業大約高三倍,仍接收到不少企業預約採用。」
|
▲戴夫寇爾執行長翁浩正提醒,企業資訊系統委外開發,須留意在合約當中明定資安的驗收依據,基本作法是提出第三方公正單位的檢測報告,以確認程式碼未出現常見的疏失。 |
值得一提的是,戴夫寇爾在實作滲透測試完成後產出的報告中,會附上完整執行步驟,只要IT人員依據該步驟執行,即可重現相同的結果。萬一檢測後發現漏洞,相關的修補程序或強化資安等級的作法,亦須由IT人員來執行。
翁浩正指出,如此才可避免球員兼裁判的疑慮。同時,IT人員亦可藉此學習撰寫攻擊語法的思維,以及建立防禦措施的作法。「我們的想法是,提供檢測服務的同時,就要幫企業教導內部IT人員,培養自行協助公司強健資安體質的能力,不再發生相同的錯誤或漏洞,以免過於仰賴廠商。」
除了執行深度的滲透測試,評估不同網站的高、中、低風險狀態,戴夫寇爾亦有針對簽訂顧問服務的客戶,提供廣域的滲透測試。「主要是模擬黑帽駭客面對企業網站的想法,在三個月內,旗下網站的IP、網域,全數放任我們實際演練攻擊。這是一個新的測試模式,讓我們在有限時間內,如同駭客組織,研究評估可被利用來滲透的標的,先建立公司內部的灘頭堡,進而擴大滲透到內網,從中得知究竟能否觸及機敏資料。」翁浩正說。
由於每個企業環境都不同,擬定滲透攻擊計畫之前皆必須經過需求訪談,客製化設計發動策略。當確認已模擬滲透成功並取得主機最高權限可直通內網,會先行通報待取得同意後,才會繼續執行滲透。至於最後提出的改善建議,則會依據可行性,在資源有限 下,制定解決問題的優先順序。若有技術人力,但欠缺預算,亦可建議基於開放原始碼自行建置相關措施,無須大肆採購資安產品也可因應。