IT Audit, Assessment & Consultation | Ringus Solution Enterprise Limited

案例研究

金融業案例-漏洞評估及滲透測試服務
總部設在香港並向全球提供專業金融服務的跨國金融機構

規模 300+ 員工
服務 漏洞評估及滲透測試服務
挑戰 儲存及處理大量敏感客戶個人資料和交易數據的系統
結果 識別系統,網絡和應用程序安全漏洞,並提供技術建議
後續跟進 減輕及移除現有的安全漏洞,並提供進一步改善方法和工具

挑戰
在這個案例,我們的客戶是一間跨國金融機構,為社區提供廣泛的金融服務。由於要對客戶的個人信息和交易數據維持高的保密性,我們的客戶付出了大量的努力在信息和網絡安全上,以防止信息洩露和黑客入侵。由於用於金融交易的系統必須擁有高的安全級別,我們的客戶會定期或在其全球金融交易平台的新版本推出前,進行漏洞評估和滲透測試。為了檢查其網絡架構及系統的安全性和風險級別,我們需要通過漏洞評估和滲透測試服務提供外部攻擊來確認其安全風險,並為其進一步改進提供技術性建議。

結果
經我們的保安專家對客戶的目標系統進行滲透測試後,我們發出了一份含有詳細安全性結果的報告,並發現了一些會將個人和交易信息置於網絡攻擊風險的關鍵漏洞。基於現有設置,我們的團隊根據現有工業的標準提供適切可行的技術建議和諮詢,並對黑客入侵所需的時間進行了定量估計。除此之外,我們建議了最新的安全保護方法和工具以便客戶用於未來的改進。最終,我們的客戶採納了我們的建議以增強其信息安全級別和安全控制措施。 

漏洞檢測評估報告主要包括:

  • 漏洞的優先列表
  • 漏洞的風險級別
  • 技術建議
  • 漏洞的描述和證據
  • 潛在影響
  • 技術性建議

  • 後續跟進
    在我們對安全測試進行評估和深入分析後,永盛科訊提供了一份詳細的報告,其中列出了一系列安全建議(方法及工具)和糾正措施計劃。我們的客戶隨後相應地實施了這些計劃,而下一次的滲透測試也驗證了這些糾正措施的成功及有效性。

    作用
    按照我們提供的建議,該客戶已經掌握了針對其已知漏洞和全球黑客活動最新的防禦方法。而根據我們的定量評估,客戶亦能對目前的設定要求有一個現實的認識:比如入侵其主服務器所需的時間和成本;允許客戶在合適的時間對設備成本按照安全等級的不同進行評估及為其建立一個可供持續改進的模式。 憑藉我們全面的測試報告、專業建議、支援與協助,我們的客戶能夠對現有安全級別有一個深入的了解。我們的服務能大大幫助客戶避免潛在的聲譽危機,並允許公司以自信和安全的方式操作他們的系統。