十幾年來在我尚未接觸大量的資安滲透工具時,很多資安知識是從書藉和實際防護伺服器等實戰經驗得來的,老實說我也算很幸運,因為並未遇到真正很強的駭客,可以用Linux系統本身的許多防護機制就擋掉每天不間斷的掃描、攻擊。
然而,這幾年資安滲透工具的發展速度超快,加上加密貨幣的盛行,因此整個黑暗產業的發展也異常蓬勃,已經形成了上、中、下游的完整分工,甚至也有類似雲端的SaaS服務出現(C2-as-a-Service),例如付費讓駭客針對特定網站主機進行DDoS攻擊…
由於自己身負保護客戶伺服器的重責大任,因此每天都要隨時觀察伺服器的運作狀態,然後針對有異常的伺服器進行深入檢查與處理,再加上現在的資安滲透工具可以很方便取得,所以這幾年我開始深入了解這些強大又複雜的資安滲透工具。
孫子兵法有云:知己知彼,百戰不殆。
想要做好資安防護,最好的做法就是先了解駭客會怎麼攻擊,如此才能針對攻擊規劃出最合適的防禦方式,而不是自己瞎子摸象到處補強,那只會事倍功半,例如漏洞是在網站程式時,只顧著補強系統層級的資安,那麼還是會被攻破的!
為了能快速找出資安漏洞/弱點,就會先進行所謂的弱點掃描!
實戰經驗夠多的專家就會明白,弱點掃描其實也很不簡單,因為掃描工具太多(有付費也有免費的),掃描的重點不同、結果也不一樣,所耗費的時間和成本也就不同,例如有針對網站掃描的、有針對整個網路掃描的、有針對伺服器主機掃描的…
每個企業的網路架構、想掃描的重點都會不同,因此我個人認為弱點掃描服務是沒有標準價格,完全是Case by Case的!若是真的需要一個參考價格,可以用人時(ManHour)來計費,然後預估可能耗費的人時再來乘上單價就能算出一個大概的價格。
此外,有些弱點掃描工具會有侵入性,可能會造成受測主機的資料發生異常、在掃描過程中也可能會影響到主機服務的正常運作…這些都是在進行弱點掃描之前要做討論和規劃的,千萬不要隨便找個免費健檢的廠商來進行弱點掃描,本來沒事、掃了之後變成一大堆問題,甚至被駭客入侵,最後被迫要付錢請廠商來處理(最怕的是廠商假借免費健檢掃描,其實是來探測企業內部架構和相關資訊)。
台灣的法規第358~363條中有明定相關的條文,所以千萬不要沒有取得同意前(例如資安漏洞掃描同意書)就進行弱點掃描的行為,以免觸犯法律哦!
針對網站進行深度弱點掃描
受測主機的CPU用量
受測主機的每小時網路流量
WE CAN HELP!
#我是全台最用心的雲端顧問
#有雲端和資安需求歡迎找我
#未簽長期約前可用小時計費
#顧問諮詢費約每小時200美金
?了解INSTAWATCHER:
https://instawatcher.pro
?了解我親自完成的成功案例:
https://www.tts.bz/showcase
?了解服務項目價格表:
https://www.tts.bz/pricing