三甲科技是來自中部的資安技術檢測公司,「三甲」取名於「AAA Security」,代表著資訊安全當中的三大面向,認證(Authentication)、授權(Authorization)、紀錄(Accounting)。也意味著期望透過「A級專業」提供「A級服務」,來達到「A級安全」。
三甲科技以資訊安全專業服務作為營運主軸,希望能提供給客戶更安全的保護,核心技術可分成五大項,分別為弱點掃描、滲透測試、郵件社交、資安健診及APP檢測,內部工程師皆具備相當豐富的服務經驗及多項資安相關專業能力。目前主要的服務對象擴及學校單位、政府機關、科技產業、製造產業、房產集團和金融企業等機構。
AAA資安健診平台針對端點電腦設備提供多樣化的檢測分析功能,透過檢測程式的執行、結果回傳與後端自動化分析,提供該端點設備的各項安全訊息,內容包含作業系統及應用程式更新狀況、潛在可疑程式及政府組態比對等資訊,並透過統計報表讓客戶清楚了解設備狀況。
透過AAA資安健診平台自動化的後端分析與即期資料比對,客戶可依內部安排時程針對電腦設備執行簡易資安健診,並降低執行上的成本與達成即時的電腦設備安全管控。
產品主要特色:
滲透測試(Penetration Test, PT)為針對企業所提供之內部網路或網站應用程式進行安全性漏洞檢測,確認網路架構及網站安全性並設法取得存取權限與內部機密資訊。
過程依循OWASP TOP 10以及SANS TOP 20等準則設計一系列檢測流程。利用多種深入檢測工具輔助進行測試,包含SQL Injection及其他弱點檢測,並發現系統脆弱點。
最後,依照單位之檢測結果提供詳細的解決方案,持續提高客戶系統之安全等級。
弱點掃描(Vulnerability Assessment, VA)指的是針對企業網站、內部伺服器或網路設備進行泛用性掃描,並發掘已知的系統弱點及後門程式。
接著深入探討、分析、調整並排除弱點掃描的結果報告,並以此評估企業內部環境之風險等級。
最後,依照各企業單位之需求協助並提供資安建議方案,確保企業之關鍵設備的安全性維持在最佳狀態。
資安健診係依循各式標準與規定,針對客戶單位環境進行全面性的安全檢測。並檢視客戶單位環境內各項資安防護能力,發掘不安全的設定與潛在風險,持續提升企業單位整體資安防護等級。
主要檢測目標項目包含:網路架構審視、有線網路惡意活動檢測、使用者及伺服器主機之惡意程式檢測與更新檢視、各項安全性設定檢視。
社交工程演練主要是利用社交工程的測試手法配合電子郵件或簡訊的方式針對企業單位進行測試。
為了提升企業單位內部員工的資安意識以及對於受測使用者面對社交工程攻擊與惡意訊息時的防護與警覺能力,三甲科技提供社交工程演練檢測服務。
透過簽訂保密合約,在安全的範圍內由本團隊利用社交工程之實施,提升單位員工的資安意識及對於網路安全防護之警覺性。
依據OWASP MOBILE TOP 10、行動應用App基本資安檢測基準等規範,針對iOS/Android平台之App進行檢測。
透過多種檢測工具針對App進行解譯、反編碼程序等分析,並評估其內容是否有機敏資訊洩漏或違反規範等風險。除了檢測App本身是否含有漏洞風險之外,為確認App傳輸之機敏資料確實受到保護,降低敏感資料在行動裝置傳輸時外洩的機會。三甲科技會針對App使用進行封包攔截,並詳細分析內容是否符合上述標準。
最後,透過檢測結果產出測試報告,讓受測單位了解自身App封包傳輸的安全狀況。
所謂的源碼檢測指的就是白箱測試,遵循OWASP TOP 10、SANS/FBI及CWE等各項國際標準規範,針對各項主流之程式語言進行弱點掃描。
透過應用系統進行整合性測試,確保傳輸連線、加密編碼方式以及敏感資料是否已妥善防護。避免因程式碼邏輯衝突產生安全漏洞隱憂或是避免網站及應用系統遭受攻擊、入侵。
最後,再根據檢測結果提供適當的修復方案建議給客戶,確保客戶端所提供之服務能進一步保障用戶敏感資料。
企業中除了專業的IT人員須具備資訊安全的能力之外,一般行政人員或管理者都應該需要具備足夠的資安意識。為了瞭解網路駭客犯罪的技術,需知己知彼才能避免單位內的漏洞變成攻擊的對象。
為提升企業單位之整體資安能量,三甲科技提供客戶多樣化資安教育訓練,包括資安意識演講、資安攻防實例分享、安全網站程式開發課程、弱點檢測應用實務課程、個資防護教育訓練課程及其他客製教育訓練服務等,同時講師群經驗豐富,曾於行政院技服中心資安職能、金融研訓院等課程進行授課。
ISMS(Information Security Management System)是一套有系統地分析與管理資訊安全風險的方法。透過制度化的控制方法,把資訊風險降低到企業可接受的程度內,以風險管理的觀念保護企業中資訊資產的機密性、完整性及可用性。
透過國際標準化組織ISO(International Organization for Standardization)所發布的ISO 27001資訊安全管理框架,協助企業組織管理和保護資訊資產,確保其安全無慮。
「精準資安」考量的要素包含管理、技術、環境、人員、成本與法規等,經由專家顧問綜合評估過後,為企業規劃運用有限的資源,導入適合的資安規劃,為企業量身打造循序漸進的資安建置。
三甲科技提供資安服務,包含檢測、教育訓練、ISMS導入、顧問服務及資安規劃與建置,各項服務皆通過資安能量登錄,同時涵蓋於ISO 27001:2013之驗證下。
適用於各類資安要求,如資通安全法、金管會或標案規範之第三方資安驗證評估、企業自主檢測、政府補助案需求...。
由於資訊安全領域涵蓋面較廣泛,包含軟體、硬體、和服務,更有識別、保護、偵測回應、和復原等面向。若企業銀彈夠,當然每個面向都進行強化最好,但在有限資源當中,如何考量真正的首要需求...?
「打造資安最堅固的防線,成為您抵禦駭客的助力。」
三甲科技是一群逢甲學子組成、位於臺中的團隊,致力於資訊安全檢測。