資安攻防是長期抗戰,必須善用有限資源與預算來創造最大的防護效果,避免微小的防禦破口衍生為巨大而複雜的風險。從駭客視角檢驗企業資訊安全,將是突破盲點、預先防備的關鍵。

Cymetrics 以 Azure 為平台佈建的 SaaS 資安檢測服務正是如此。結合運行於 Azure 的開發服務如 DevSecOps、Azure Kubernetes Service,以及資安服務如內含 Web Application Firewall 的 Azure Application Gateway、Azure Sentinel,發揮敏捷、彈性的優勢,從駭客視角出發以確保全方位資安檢測無死角。

三階段漸進式、持續性資安檢測

因疫情而暴增的遠距工作需求,成為資安漏洞加速揭露、資安事件倍數成長的溫床,嚴重挑戰企業的資安韌性。傳統著重在「合規導向」的資安策略難以因應當前的變局,以駭客視角出發的「風險導向」,成為即時應變的利器。

Cymetrics 產品負責人周彥儒表示:「我們的 SaaS 資安檢測服務以漸進式、持續性的作法,讓企業能搶先在駭客之前先找出可能被突破的破口,防範潛在的風險。」

Cymetrics 產品負責人周彥儒

 

根據 Cymetrics 的規劃,由外而內、由廣至深提供三階段漸進式 SaaS 資安檢測,分別為:

  • Level 1:曝險評估即服務(Exposure Assessment as a Service;EAS)。透過蒐集及分析企業的外部曝險資訊,先從了解自身及供應鏈的外部曝險著手,由外而內進行效率化的資安曝險管理。

  • Level 2:弱點評估即服務(Vulnerability Assessment as a Service;VAS)。由金融業資安專家及工程師依據最新的攻擊情資實作檢測腳本,透過自動且持續性的弱點評估,不僅可掌握 OWASP(Open Web Application Security Project)TOP 10、CWE(Common Weakness Enumeration)及 CVE(Common Vulnerabilities and Exposures)的合規狀態,還能搶在被駭客發現前,預先管理企業自身的資安曝險。

  • Level 3:滲透測試即服務(Penetration Test as a Service;PTS)。由合格的資安滲透測試顧問依循 OSSTMM(Open Source Security Testing Methodology Manual)方法論,針對測試範圍檢測已知及未知弱點,並透過顧問服務協助企業依據風險進行弱點管理。

Cymetrics 透過自行研發的資安評估 SaaS 平台,提供三階段由外而內、由廣至深漸進式 SaaS 資安檢測。

 

以 Azure 平台與服務加速開發部署

透過微軟 Azure 進行佈建的作法,讓 Cymetrics 的 SaaS 資安檢測服務擁有輕量便利的優勢並提供三大效益,包括平均 15 分鐘可取得曝險檢測報告、檢測頻率提升 10 倍、檢測預算節省 30%。整體而言,可望協助企業精省資安預算達 70% 之多,換言之,企業以相同預算可進行更高頻率的資安檢測。

Cymetrics 的 SaaS 資安檢測其輕量便利的特性幫助企業節省超過 70% 的資安預算。

 

當初在選擇佈建 SaaS 資安檢測服務的公有雲平台時,Cymetrics 的評估條件包括穩定度、安全性、彈性及延展性,最後由 Azure 雀屏中選,而 Azure 在開發與資安所提供的豐富服務內容,也成為 Cymetrics 佈建服務的一大助力;此外, Azure 提供優秀的技術支援和問題追蹤流程,對於快速成長的 Cymetrics 而言,更是最佳的後援。

Cymetrics 在軟體開發、資訊安全和監控告警三個面向都貫徹 DevSecOps 精神。軟體開發採用微服務架構取代傳統的單體式架構,並透過容器化結合 CI/CD 自動化部署到 Azure Kubernetes Service 的方式,才能因應目前愈來愈頻繁且多樣化的攻擊模式,讓服務得以快速迭代。

而在資訊安全,Cymetrics 採用 Azure Application Gateway 及其提供的開箱即用的 Web Application Firewall,在基本的 OWASP Top 10 之外,提供自訂規則功能以防範不同的攻擊手法,Cymetrics 也能以最少的時間與人力來佈建資安防禦。

針對監控告警,Cymetrics 透過 Log Analytics Workspace 完整收容來自應用程式及內部系統的 Log,並結合 Azure Sentinel 進行 Log 分析,除了偵測攻擊和威脅,同時建立告警系統,讓相關人員能夠即時反應。

Cymetrics SaaS 資安檢測選擇具有穩定度、安全性、彈性及延展性的微軟 Azure 平台與服務加速開發部署。

 

建立資安防禦的主動認知及策略因應

Cymetrics 提供一鍵評估、隨選諮詢服務,以及資深的滲透測試團隊持續更新的測試項目,結合微軟 Azure 平台的安全性與穩定度,協助企業以簡單、現代化的方式,達成全方位管理資安的目標。

值得一提的是,透過 Cymetrics 的 SaaS 資安檢測服務,企業可更頻繁地進行資安曝險及弱點評估,將曝險週期從年縮短至月,並以隨用隨付的模式大幅縮減高額的資安投資,同時強化企業內部及相關供應鏈的資安管理。

周彥儒表示:「資安威脅瞬息萬變,但傳統以框架合規為方法的資安,讓企業盲目地投入大量成本卻無法有效遏阻資安事件;相對地,唯有持續且主動地了解企業的資安盲點,並據此調整資安防禦策略,才能以最低成本發揮最大功效。」

身為微軟金級合作夥伴的 Cymetrics,自 2021 年 5 月首次於 iThome 臺灣資安大會亮相以來,已獲金融業、公單位、製造業、區塊鏈產業、資訊服務業,以及餐飲速食業等客群信賴,同時透過在 Azure Marketplace 提供 Cymetrics 資安檢測服務,擴大接觸更多的海內外企業。

延伸閱讀與資源

Azure Kubernetes Service (AKS) 使用完全受控的 Kubernetes 服務,更輕鬆地部署及管理容器化應用程式。AKS 提供無伺服器 Kubernetes、整合的持續整合與持續傳遞 (CI/CD) 體驗,以及企業級的安全性與治理。

熱門新聞

Advertisement