API盤點-UTDS

隨著雲端、行動、微服務等技術的發展,API 已然成為應用程式開發中不可或缺的工具。然而,API卻也變成網路犯罪攻擊的重點。根據OWASP的API Top 10報告,常見之未經驗證的資料傳輸、過度授權、缺乏適當的監控與日誌等等,都是API常見的安全隱患。這些漏洞一旦遭到攻擊,不僅可能導致敏感資料外洩,更會影響企業的營運與聲譽。 光盾資訊的API盤點系統為客戶發現不少這樣的問題: 公司將程式外包或購買產品,但於交付時,這些外包程式或購買的產品含有「影子API」,造成公司的系統被駭客利用影子API,感染惡意程式。這樣的供應鏈議題,已造成了諸多資安事件。為有效偵測到這樣的狀況,客戶可利用UTDS的硬體或VM架構,嚴謹監控內、外網中的API流量。 有鑑於層出不窮的資安事件,金管會亦將API盤點視為重點項目。除了進行完整盤點,光盾資訊的產品結合人工智慧的零時差攻擊偵測、沙箱分析,因此在盤點出API的同時,亦可偵測針對API的攻擊、存在的漏洞等,為API防護作嚴謹的把關。下為光盾產品針對API風險的盤點畫面: 強化API安全建議:

惡意程式防護有效性測試

愈來愈多公司、組織遭受各類型病毒威脅。相關案例不勝枚舉。 光盾藉由大量布署之Honeypots,不斷收集最新駭客情資,含攻擊手法、相關行為、感染途徑,再利用模擬方法,撰寫虛擬惡意程式。用這個方法,光盾以安全、可管控的方式,為客戶確認: 1. 防護系統是否能偵測各類意程式攻擊(例如:硬碟加密、竊取敏感資訊、鍵盤側錄、任意指令執行等) 2. 內部敏感資訊是否會因為各式不同的手法(例如:HTTP-GET、HTTP-POST、SSH、FTP等),而被駭客或內部人員傳送出去 3. 惡意程式是否可能在內網擴散 藉由此檢測,客戶可以利用安全、可控的方式驗證:   -敏感資訊的保護是否足夠 -防護設備是否運行正確 -資安政策是否落實,並使用最小權限原則 -測試敏感資訊是否可由內網傳出 -攻擊者是否能利用受測機當跳板,攻擊內網其他系統

惡意程式偵測平台-SandSphere

SandSphere為一進階程式之潛在威脅、後門程式分析工具,利用專利之動、靜態分析技術,找出程式碼、執行檔、函式庫、第三方元件是否誤用到各式惡意程式、後門程式

客戶可利用SandSphere,檢測委外廠商交付的程式或第三方元件中是否含有惡意程式、後門程式。

目前,諸多海、內外大型金控、政府單位、企業使用SandSphere,於系統正式上線前,進行安全檢測,並已成功防止多次重大資安事件!

SandSphere相關特色如下:

1.針對程式碼內藏之所有連線、後門、惡意程式進行偵測(檢測系統或程式有無惡意程式及後門程式)

2.滿足安控需求,確實管控第三方元件、外包開發系統之安全性

3.掃描報告明確列出存有風險之檔案路徑及告警原因

4.分析全球4.9億個網站名聲,定期更新C&C主機清單(偵測惡意網站連結並定期更新惡意網站清單)

5. 支援各檔案類型,在程式碼中尋找已知、未知威脅

6. 客戶可以選擇自建硬體(appliance)或雲端服務,自動化定期分析程式碼之安全性


SandSphere跟第三方元件管理工具、防毒軟體、源碼掃描有什麼不同?



掃描範例一:.sys檔被偵測出為Windows惡意程式。它會伺機竊取敏感資訊並上傳至C&C主機。

(此例為SandSphere利用網域名聲排序,於程式中找到惡意網域,故目前無防毒軟體可偵測此類惡意程式)




掃描範例二:.exe檔被偵測為惡意程式。它會偵測防毒是否運作、將程式碼注入其他程式,且被加殼保護

(因此隱藏病毒被加殼保護,且它會偵測系統中是否裝有防毒軟體來變化其行為,故目前並無其他防駭程式或沙箱可偵測)



政府採購專區

光盾擁有豐富為政府單位執行資安專案之經驗,可以同等規格為客戶執行資訊安全檢測服務, 包含: 滲透測試、弱點掃描、資安健診、社交工程郵件測試等等(均由擁有CISSP、CEH、CISM、CPENT、LPT等等證照、接受美國頂尖資安訓練之專業資訊安全專家執行)。

網路搜尋引擎最佳化(SEO)

網際網路自1990年代中期快速發展,並已應用於世界各個角落、各個領域。如今,大家已習慣利用網際網路來搜尋資料、買票購物等等。隨著網路的發展,越來越多人進入網路這塊市場,網路上能搜尋的資料量越來越多,衍生而來的問題就是資訊的能見度。舉例來說:”當一個人要在網路上買筆記型電腦,他會直接在搜尋引擎上輸入關鍵字,接著自然而然地進入搜尋結果第一名的網站。我們可以看到,範例搜尋第一名是百思買(www.bestbuy.com),而使用者隨即開始涉獵標的(圖一)”。這樣的行為造成搜尋引擎排名的競爭激烈,人人都想讓自己的網站有最佳的能見度,而根據Optify研究顯示,排名第一的點擊率(36.4%)是第二名(12.5%)的三倍之多(圖二),進一步分析,搜尋結果前十名的平均點擊率8.9%與十至二十名的平均點擊率1.5%相比,第一頁的平均點擊率是第二頁的六倍,表示網頁搜尋結果排名在第一頁之後的位置,已幾乎乏人問津…。  因此,什麼因素決定排序?有什麼方法可以提升能見度?成了許多人非常感興趣的話題。  圖一 圖二網路搜尋引擎最佳化就是所謂的SEO (Search Engine Optimization)。經過SEO服務的網站可以在搜尋引擎中獲得極佳的排名次序,將使您的產品或服務輕易地被找到,因而發掘更多潛在的重要客戶。藉由全球搜尋引擎所帶來的曝光量,將快速提升公司或網站的知名度、在市場上比對手更快取得先機、有效率地擴展公司業務。搜尋引擎最佳化更重要的意義,在於為使用者打造最佳的使用體驗,讓網站最完美的一面,呈現在使用者/消費者眼前。  SEO搜尋引擎最佳化雖然目前還不是個很明朗的學問,因為大多數搜尋引擎對於如何評等網頁的演算法保持最高機密,且隨著搜尋引擎的演算規則改變,SEO技術也會跟著調整。儘管搜尋引擎演算法的各項因素和因素所佔權重可能不斷地在改變,但對於網站開發與經營,光盾整理出以下幾點實做SEO的方向與原則仍是不變的:   改善網站架構 1.標題 標題內容一般出現在搜尋結果的第一行。如果標題文字出現在使用者的搜尋查詢中將以粗體標示,這將有助於網站被需要的使用者或消費者快速正確地找到。網站的首頁標題可以列出公司或網站名稱,還可以包括網站涉及的領域或提供的服務等等重要資訊。請使用: 簡短且準確的網頁標題 為每個網頁都建立獨特有意義的網頁標題,避免[未命名]或[新網頁]這類的預設標題或無意義的網頁標題 2.摘要 網頁中繼標記將提供搜尋引擎關於該網頁的摘要,也就是向使用者概括介紹您的網頁內容。當摘要中的文字出現在使用者的查詢字中,搜尋引擎將會以粗體顯示搜尋結果,這亦將有助於網站被需要的使用者或消費者快速正確地找到。 3.網址 清楚易懂的URL命名有助於搜尋引擎檢索該網頁,可以提供使用者更明確的訊息。應避免網址顯示難以辨別的字母、數字或參數,而網站的網址結構應該儘可能簡單,且以有邏輯的方式來架構讓人容易理解的網址。這些對於使用者或搜尋引擎都是正向的效果。請注意: 網址避免難以辨別的參數,使用有意義的單字 目錄架構簡單清楚 4.導覽 建議使用「階層連結清單」導覽讓使用者方便快速地在網站內找到所需內容。請做到: 建立自然流暢的層級架構 導覽中儘量使用文字連結 建立實用的404網頁、改善使用者體驗 最佳化網站內容 1.提供優質內容和服務 儘管對於網站架構一些基本的小幅修改確實能對網站的使用者體驗以及搜尋結果的表現有顯著影響,然而回到最根本要素,建立引人注目且實用的內容,才是提升網站人氣最重要的因素。唯有優質的內容才能讓使用者透過社群網站、部落格或論壇分享而獲得放大效益,而這種口碑相傳的效應會大大提高網站聲譽。 此外,網頁工程師應事先考慮各類型使用者搜索行為的差異、進行關鍵字分析,並站在使用者的角度選擇合適的關鍵字。藉由搜索引擎的「關鍵字分析工具」,才可讓網站更容易於熱門搜尋中被注意到。 撰寫容易閱讀的文字、創作新穎而獨特的內容,是決定使用者要不要駐足於此的重要因素 根據訪客的需求設計網站,同時確保搜尋引擎可以輕鬆存取 適當使用標記,可以讓使用者清楚意識到這部分文字比較重要,幫助使用者瞭解標題文字下的內容類型,讓文件更容易流覽 2.超連結文字 力求使用簡明扼要的文字、提供有關連結網頁的基本訊息。應避免無含義的錨定文字,例如「網頁」、「文章」或「這裡」等等。 3.圖片 使用「alt」屬性可提供有關圖片的資訊。將圖片的檔案名稱和替代文字最佳化,可讓「圖片搜尋」更容易瞭解您的圖片,藉此也同時提高網站的曝光度 將檔案儲存在專用的目錄中,並使用一般檔案格式加以管理 建立圖片Sitemap檔案 檢索器互動 搜尋引擎友善度(Search Engine Friendly, SEF)就是讓搜尋引擎理解網站的內容,將網頁內容收錄在資料庫中。在Google官方文件中,針對網站的建置提出許多建議。簡單來說,越符合搜尋引擎檢索器的規則,搜尋引擎友善度越高,自然越能提高搜索引擎蜘蛛檢索網站的機會與效率。 1.robots.txt 使用robots.txt限制搜尋引擎對無需檢索的部分進行檢索。 2.nofollow 使用「nofollow」對抗垃圾評論,告知搜尋引擎不應隨著網站上的某些連結而連至他處,也不應將網頁的信譽情況傳給連上的網頁。 3.sitemap 建立網站專屬的XML Sitemap檔案,同時使用搜尋引擎的「網站管理員工具」提交XML Sitemap,讓搜尋引擎更容易發現您的網頁。 關鍵字廣告需要投入相當預算,且隨著廣告預算止付宣傳效果也就嘎然而止。其它如同業競爭惡意點閱、經銷商灌水的報表以及無法鎖定真正目標客戶群都是關鍵字廣告潛在的缺失。相較於關鍵字廣告,我們的技術是藉由提升網站的價值以獲得更多的點擊率,公司網站的內涵遠比關鍵字廣告短暫的灌水排名更為重要。SEO的技術相較於關鍵字廣告需要的推廣宣傳成本較低,且成效是永久的,因為SEO技術是以循序漸進的方式增加公司網站的流量,並提升網站的分數與排名,對一個長遠經營的公司而言SEO才是推廣宣傳業務的最佳方案。 下面是我們為客戶做SEO服務的流程圖: