中華電信:滲透測試服務替企業抓漏洞

近日知名3C賣場傳出資料外洩事件,許多會員於網路上表示接到詐騙電話且對方清楚知道其消費細節。警方表示今年起已經出現10多家會員網站疑似因同 一模式受駭。

近日知名3C賣場傳出資料外洩事件,許多會員於網路上表示接到詐騙電話且對方清楚知道其消費細節。警方表示今年起已經出現10多家會員網站疑似因同 一模式受駭。中華電信HiNet SOC資安分析師指出,過去詐騙集團的「詐術」,將會和駭客集團的「技術」結合,以前只能騙年長者的詐騙手法,透過駭客竊取的詳細會員資料,將可能使得社 會大眾皆淪受其害。

而新版個資法的通過,業者將有別於過去受駭後的平安無事,現今法令將嚴格要求業者對個人資料或會員資料庫擔負起維安責任,若出事則受駭會員可以要求 損害賠償,許多壽險、金融、網路購物與會員網站的業者承受了不少壓力。為了避免成為新版個資法案下的第一個祭品,許多業者紛紛找上資安廠商進行網站滲透測 試,也就是在駭客入侵之前先找安全專家測試自己一遍,以了解自家網站的安全強度。中華電信HiNet SOC資安監控中心的企業資安服務,便提供業者一個網站安全評估的機會,中華電信資安辦公室主任吳怡芳表示: 「過去企業光靠弱點掃描來檢查網站漏洞的方式已經不敷所需,許多新的網站漏洞都得靠專業的滲透測試才能找出來,企業可藉此及早發現可能會洩漏個資的問題 點。」

中華電信滲透測試服務團隊根據過去半年對數十家政府單位、學校機構與金融業的檢測經驗,整理出與個資法密切相關的眾多駭客手法,其中以直接利用網站 漏洞入侵後臺資料庫的損害程度最大,直接盜取會員資料的手法,網站不會有明顯的異狀,往往在不知不覺中慢慢流失所有客戶資料。與個資相關的網站漏洞則有 SQL injection漏洞、檔案上傳未過濾以及網站目錄跨越漏洞等等,而這些網站漏洞皆可造成網站資料外洩、盜取客戶資料庫以及下載程式密碼等足以跨越個資 法處罰的紅線行為。

除了利用滲透測試服務找出這類網站漏洞外,使用網站應用程式防火牆(WAF)也會是解決方法。資安廠商另外也推出DLP這類企業文件資料控管產品來 因應個資法,業者在今年起將可藉由這些防護機制來避免因個資法蒙受賠償損失。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416