Cymetrics EAS 资安曝险评估(EASM 外部攻击面管理)

低成本
高效益

• 云端软件即服务（Software-as-a-Service）。随用随付模式提供客户更弹性的选择
• 与国际大厂曝险检测项目 80%相同，但是一般企业均可轻松负担的价格
• 资安评级连结 ISO27001、PCIDSS、NIST CSF、GDPR 等知名国际资安及个资标准，协助企业同时进行多个资安法规及标准的技术面合规管理，提升合规管理效率

简单快速易懂

• 企业不需聘请专业资安工程师进行复杂的检测设定，仅需提供网域，即可在线进行资安检测，平均 15 min 取得曝险评估报告
• 一眼就懂的可视化图表，利用视觉图表进行不同维度的分析，协助管理阶层迅速理解资安状况
• 将资安漏洞依照着重大程度分类、并提供详尽的解决方案，协助企业快速锁定修复目标

技术
支援佳

• 平台在重大资安事件后 7 days 内更新漏洞检测脚本。有效提升企业对于自身资安防御之可视性及显著缩短漏洞曝险期
• 支持中英文报告下载
• 在地台湾团队，对台湾法令及资安情资获取上较有优势

网络安全

• 远程控制：是否有公开对外的远程控制服务，确认该服务是否有入侵之可能性。
• 数据库：是否有公开对外的数据库服务，确认该数据库是否具备已知漏洞。
• 应用服务：枚举公司对外所有的应用服务，确认公司攻击表面所存在之弱点。
• 黑名单：检视暗网情资，了解自身是否因防护疏失，而已被列为恶意攻击跳板黑名单。

网站安全

• 网页服务器：确认网页服务器所有未设置或安全等级不足之的安全性设置，并检视该服务器版本是否存在已知漏洞。
• 网页应用：检测不安全的标头设定，避免用户在与网站互动过程中敏感信息之泄漏，及被伪冒请求的风险。
• 凭证：检测凭证加密套件的安全性强度，确认网站是否使用到有漏洞之加密套件。
• 网域：列举与公司相关的网域，了解是否存在会对公司造成影响的恶意网域。

电子邮件

• 公开的对外邮件服务：检测公司是否有对外公开之邮件服务器，避免该伺服因安全设置不完善造成资安破口。
• SPF：检测公司网域之 SPF 设定是否完善。SPF 设定主要确认邮件是否确实由公司所授权的服务器发送，避免黑客假冒公司网域发钓鱼信件给员工或客户。
• DMARC：检测公司网域之 DMARC 设定是否完善。SPF 需搭配DMARC 设置能进一步强化收信方电子邮件网关处理假冒电子邮件之能力，DMARC 也为 Gartner 2021 资安防御十大重点之一。

账号密码

• 帐密外泄：将公司账号与知名数据库进行比对。
• 外部服务账号：检测公司网域是否已注册于常用之外部服务，有可能是黑客作为社交工程之攻击准备，先使用公司网域注册该等外部服务。
• 暗网情资比对：检测公司网域是否于暗网中被提及，代表公司可能已有被开采之漏洞或机敏数据已被黑客于暗网中分享。

云端安全

• 公开的云端储存：检测企业是否有公开对外的云端存储器 (目前排名前几名的资料外泄事件中，大多数的外泄管道即是透过公开的云端存储器，因此如何妥善管理好云端存储器，避免成为机密信息外泄的管道，为云端资安管理的重要课题之一。)
• 公开的公共链接库：检测企业是否有公开对外的公共链接库(公共链接库中可能会存在组织内重要服务之程序代码、账号密码与历史编辑纪录，这些信息都有机会被黑客进一步利用寻找漏洞并伺机攻击公司。)