Information security maintenance
網頁有美感
網頁有美感
但資安不能骨感
網站資訊安全一直是建置網站最容易被遺漏的一個環節,往往等到個資外洩、網頁遭竄改才驚覺為時已晚,而且繁雜的資安術語更是讓人眼花撩亂。
愛貝斯遵守資安開發規範,並於客戶專案中做好弱點掃描修補,也會建議企業該投入哪些預算添購軟體設備,大幅降低資安風險。
供應鏈資安新趨勢,
愛貝斯助你高分達標
大型企業供應鏈資安政策日益嚴格,官網不僅要符合設計美觀與功能需求,更需通過Security Scorecard、Panorays等資安評測工具的高分審核。
愛貝斯憑藉多年網站建置與資安整合經驗,從架構設計、弱點掃描到防護調校,協助企業提升資安評分,讓企業網站美觀、安全又符合政策要求。
六重關卡,佈局網站資安
開發階段
程式防護
工程師要有駭客思維
愛貝斯集結10多年的網站建置經驗,並隨時補充開發人員的資安知識,考取資安證照,讓網站在開發之初,就有良好的體質基礎。
弱點掃描
模擬攻擊,改善弱點
愛貝斯的開發核心每個年度都會進行第三方認證單位的弱點掃描,修補每年的新形態網站攻擊,確保延伸使用的客戶不會曝光在高風險之下。當然在客製化的專案內,我們也會協助客戶將程式重新弱點掃描,確定客製化的製作項目無高風險的存在。
WAF防護
網站主動防護,7 X 24小時主動攔截各式攻擊
流量比對惡意程式資料庫,隨時監控惡意攻擊,如同警衛一樣把可疑、惡意的流量排除在外。
主機防護
監控異常事件,日誌軌跡分析
愛貝斯選用ISO27001資安認證的機房與管理人員,科技監控異常主機事件,讓企業資安有「跡」可循。
維運更新
讓美麗的網站,不會有美麗的錯誤,定期維護更新才能保護資訊安全
網站建置結案後,才是資安考驗的開始,建議企業每年定期弱點掃描,修補漏洞,才能抵禦日益更新的攻擊手法。
資安小知識
常見網站攻擊手法有哪些?
一般駭客針對網站常用的攻擊手法有:
- DDOS攻擊:發動一堆殭屍電腦來看你的網站,讓你的網站跑不動變慢。
- 注入攻擊:嘗試透過網址、表單、檢查工具等方式,塞資料到你的網頁裡面,輕則被換掉文字圖片、中則被當網站跳板、重則資料外洩,這是最需要防範的攻擊。
- 釣魚攻擊:透過電子信件、假網頁等方式,讓你點了之後不知不覺下載病毒、木馬後門程式裝入電腦內,這樣電腦就任駭客為所欲為了。
OWASP TOP 10 是什麼?
OWASP是一個非營利國際組織所經營的專案(Open Web Application Security Project),全球有82個組織據點,專門針對每年網頁常見的攻擊手法作整理、開研討會,並發布TOP10 (OWASP十大網路應用系統安全安全弱點)常用攻擊給系統開發者,方便開發人員防範未然。目前許多知名的防毒、資安廠商都會使用OWASP統計的TOP 10手法作為主要防護的參考。目前最新的版本是OWASP TOP 10 2021。
WAF是什麼?我需要WAF嗎?
WAF是一種主動式防護的工具,用來過濾所有進入網站的流量。過濾過程會比對自身的攻擊資料庫,若符合資料庫內容則代表是惡意流量,會直接把這些流量阻擋下來,有點像是24小時警衛的概念。市售有許多WAF工具,價格從幾千到十幾萬都有,但其資料庫的精準度、誤判率、是否可客製化調整、是否隨時更新,都是影響其售價的關鍵。
網頁資安維運需要注意哪些項目?
網頁資安維運可分主機面、程式面、人員面三個面向來著手防護:
- 主機面:如硬體線路環境、機房位置、軟體環境、系統更新、防火牆設定、網路監控等,是屬於主機商的服務範疇,通常會配置有證照的系統工程師24小時監控服務,比較有規模的主機商會具備ISO27001的資安專業證照。
- 程式面:如PHP、Mysql的搭配應用,透過程式防堵攻擊。如檢測密碼、檢查輸入來源是否合規、防止惡意注入資料等,是屬於網頁設計公司的工作。
- 人員面:如後台操作人員、系統維護人員等。日防夜防,家賊難防。不論是惡意盜取資料、密碼太簡單被破解、個資檔案亂放桌面、釣魚信件亂點、跟無關人士分享公司資料、密碼貼Line亂傳等,其實人員控管是最難做,也是最大的漏洞。平常應該就要充實資安常識,不然買再多再貴的設備都沒用。
資訊安全有哪些產品?
- WAF:主動式防火牆,可過濾所有流量
- 弱點掃描服務:也叫做黑箱檢測,是透過自動化軟體模擬駭客常用手法,檢查網站是否有漏洞。
- 人工滲透測試:也叫做灰箱檢測,是透過資安專家人工測試,檢查網站是否有漏洞。
- 主機掃描服務:透過自動化軟體檢查主機環境是否有漏洞。
- EDR端點防護:裝入電腦的監視器,可監視是否有可疑的事件即時通報,若不幸有資安事件發生後也可回查紀錄。
能幫我調整Security Scorecard和Panorays的扣分項目嗎?
如果您是愛貝斯製作的網站,我們會在建置之初與您討論目前網站的扣分項目,以及我們預計的對應改善方式。
正式網站上線後搭配資安型的主機配備與WAF,就能提升到符合規範的分數囉。
正式網站上線後搭配資安型的主機配備與WAF,就能提升到符合規範的分數囉。
需要採購什麼樣的資安設備才能達到資安等級?
1. 使用VPS等級以上的主機,獨立資源與IP,不與其他人共用資源,這樣就不會受到惡意鄰居的干擾。
2. 採購WAF作24小時的訪客過濾機制,主動攔截有問題的流量。
3. 使用Cloudflare CDN的服務,不僅可以隱匿真實主機IP,有資安事件時也能快速切換DNS到其他備援主機。
4. 定期弱點掃描,程式和主機修補漏洞
2. 採購WAF作24小時的訪客過濾機制,主動攔截有問題的流量。
3. 使用Cloudflare CDN的服務,不僅可以隱匿真實主機IP,有資安事件時也能快速切換DNS到其他備援主機。
4. 定期弱點掃描,程式和主機修補漏洞
DDoS如何防禦?
DDoS無法有效防禦,只能透過綜合手段緩解。
一般會是建議使用VPS或是雲端主機,可以隨時更動主機IP,當IP遭受攻擊的時候快速切換DNS。
也要搭配Cloudflare做好IP隱匿,以免新的IP被搜尋到,造成追打狀況。
如果真的無法透過IP更換方式解決,也能採購專業的DDoS清洗服務,緩解網站無法開啟的狀況。
延伸閱讀:什麼是DDoS?DDoS攻擊如何解決?
一般會是建議使用VPS或是雲端主機,可以隨時更動主機IP,當IP遭受攻擊的時候快速切換DNS。
也要搭配Cloudflare做好IP隱匿,以免新的IP被搜尋到,造成追打狀況。
如果真的無法透過IP更換方式解決,也能採購專業的DDoS清洗服務,緩解網站無法開啟的狀況。
延伸閱讀:什麼是DDoS?DDoS攻擊如何解決?
網站被駭怎麼辦?
1. 盡快聯繫系統工程師,關閉目前網站。
2. 調查Log,鎖定可能的來源
3. 移除受感染的程式、檔案
4. 還原乾淨版本的程式 5. 修改主機、後台等權限密碼
延伸閱讀:網站被駭怎麼辦?教你5步驟修復+7招資安防護全攻略
2. 調查Log,鎖定可能的來源
3. 移除受感染的程式、檔案
4. 還原乾淨版本的程式 5. 修改主機、後台等權限密碼
延伸閱讀:網站被駭怎麼辦?教你5步驟修復+7招資安防護全攻略
資安網站設計洽詢
請填寫您的資料,我們將儘快與您聯繫!或來電 04-23109678
Contact Us
網站設計報價洽詢
設計一個優良的RWD響應式網站,
首先著重的就是閱讀動線,
需要的專業知識與技術比一般網頁更多、更雜,
所要考量的因素也更多,
因此您需要找尋絕對專業的響應式網頁設計公司。
請填寫您的資料,我們將儘快與您聯繫!
或來電 04-23109678
或來電 04-23109678