三甲科技創立之初以滲透測試起家,目前服務範疇橫跨弱點掃描、資安健診、社交工程、APP 安全檢測、源碼檢測、ISMS 導入、資安教育訓練等服務。
採訪/施鑫澤‧文/林裕洋
隨著資安議題延燒,升級為全球備受關注的國安議題後,為不少產業提供資安服務的三甲科技,也在 2022 年獲得台北國際電腦展之 Best Choice Award 中的資安項目入圍肯定,也代表該公司整體資安技術能力相當優異,足為臺灣資安新創的代表性業者之一。
[ 參與 CIO Taiwan 年度盛事 2023 CIO 大調查,就從填寫問卷開始!(survey.cio.com.tw) ]
三甲科技營運總監魏國瑞說,我們創立之初是以滲透測試起家,隨後又因應客戶需求,著手推出弱點掃描、資安健診、社交工程、APP 安全檢測、源碼檢測、ISMS 導入、資安教育訓練等服務。近幾年順應中部客戶推動智慧製造的浪潮,我們將營運重心著重於協助客戶強化智慧製造安全的領域,並結合「精準資安」的概念,依照不同企業特性推出專屬資安方案,持續為客戶提供最佳服務。
三大A級品牌 奠定營運基礎
成立於 2016 年的三甲科技,三位創始成員皆畢業於逢甲大學資工系,並以資安技術服務為立基點,堅持著專業、誠信的態度,全心投入資安技術服務。該公司名稱取名為 AAA Security,代表著資訊安全中的三大面向,認證(Authentication)、授權(Authorization)、記錄(Accounting),期望透過 A 級專業、提供客戶 A 級服務、協助其達到 A 級安全。
三甲科技主打的 A 級專業,乃透過定期培訓、證照考取、與資通安全研究中心合作,持續精進資安專業知識能力。A 級服務則是以標準型資安技術服務為基礎,結合精準資安的精神,為顧客建立合宜的資訊安全防護規畫。至於 A 級安全則是秉持誠信原則,為顧客提供具建設性的修復建議,協助企業逐步完善資訊安全城牆。
魏國瑞指出,公司成立之初恰逢國內銀行爆發 ATM 遭駭事件,帶動金融產業強化自動櫃員機攻防演練的風潮,也給予我們發展資安業務的機會,並藉此與不少金融業者建立合作關係。
弱點掃描結合滲透測試 強化資安防護力
面對無孔不入的惡意威脅網路,許多企業開始導入滲透測試(Penetration Testing,PT),即是以駭客思維針對用戶單位之內外部網路、設備、網站應用程式,在不影響商業運作下進行攻擊測試,並嘗試取得存取權與內部機敏資訊。
魏國瑞表示,我們會依照客戶特性,並依循 OWASP TOP 10 以及 SANS TOP 25 等風險設計一系列檢測流程後,利用多種深入檢測工具輔助進行測試,包含 SQL Injection 及其他弱點檢測,並發現系統脆弱點。最後,技術團隊依照單位之檢測結果提供詳細的解決方案,持續提高客戶網站之安全等級。
自從為金融業提供滲透測試服務開始,愈來愈多客戶了解到三甲科技的資安服務能量,也提出更多元化的資安服務要求,如弱點掃描(Vulnerability Assessment,VA)、社交工程演練、資安健診、APP 檢測等等。
現今企業對資安防護工作日益重視,若要防堵 APT、零時差等攻擊手法之前,必須先知道現行資安防護架構有哪些不足之處,為此,勢必要引進自動化檢測工具。而三甲科技的專業能力,可協助客戶針對主機、系統、網頁、設備等目標進行弱點檢測,以評估標的物是否存在安全弱點。
完成檢測後,會依照各企業單位的需求,提供資安相關建議方案,並提供後續的協助,確保企業關鍵設備的安全性維持在最佳狀態,以減少資安威脅事件發生的可能性。
跨足社交工程演練 助企業降低威脅入侵
因應企業資安防護機制日漸完善,現今駭客早已跳脫傳統從閘道端入侵的攻擊模式,而是利用員工資安意識不足的弱點,透過迂迴方式從各種社交平臺管道入侵。
因此,現今企業在為員工進行資安教育訓練之外,也會定期執行社交工程演練,演練內容主要是透過電子郵件或簡訊的方式,針對特定單位進行發送,藉其開啟率、點擊率了解員工面對社交工程攻擊與惡意訊息時的防護與警覺能力,作為日後強化資安防護力,以及改善員工資安教育的參考。三甲科技規劃的社交工程演練,包含電子郵件測試及簡訊測試服務,企業或政府機關可根據演練結果,了解社交工程可能帶來的安全缺口,藉以實施其內部教育訓練來補強,並作為資通安全的管理依據。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
很多資安事件發生主因,都是由於員工資安意識的不足,總歸一句,其肇因為『人』。為提升內部員工的資安意識,自然需要藉由定時舉辦社交工程演練、配合通識教育訓練,才能強化同仁對資安事件之警覺性。我們會透過簽訂保密合約的方式,在安全範圍內進行社交工程演練,藉此測試、分析員工的資安意識及單位對於網路安全的防護力,目前也已累積許多成功案例。
研發服務自動化及可視化平台 提升服務能量與專業化
為能更有效且提供更專業的服務,魏國瑞指出,近年致力於研發資訊安全檢測相關自動化平台,包含「資安健診快易通」、「社交神盾」與「資安漏洞管理平台」,這三種平台分別可協助企業、機關達到資安健診、社交工程演練與弱點掃描的排程、自動分析與資訊管理之目的。我們所開發的平台為解決客戶端的管理議題,從客戶端執行資訊安全檢測中遇到的困擾作為發想,善用檢測專長與研發能量,將檢測服務自動化、可視化,為客戶帶來更多的便利,並把這些平台作為輔助單位提升資安防護力的助力之一。如此一來,不僅能省下專業檢測人員的能量,讓他們投入於更精深的檢測,同時也能協助客戶端排除他們的執行痛點,大幅提升了檢測實施的便利性。
魏國瑞表示,三甲科技不只提供資安專業相關勞務服務,也投其所「需」,投入自身具備的研發能量,開發各式大幅提升便利性的檢測分析平台,以此對應到三甲的「AAA」使命,藉由三甲的專業能力,提供更精準的資安服務,有效強化企業安全防護能力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
