趨勢4月推網站安全認證服務

趨勢科技即將推出一項結合安全認證標章的網站安全掃描服務，可同時掃描網站伺服器的安全漏洞，以及偵測網頁是否被植入惡意連結或惡意程式。趨勢科技表示，因為Worry Free Security這項新服務利用了趨勢的WRS網站信譽技術，可同時判別網站的安全漏洞及惡意連結，而目前市面上其他網站安全掃描服務通常只能做到其中一部分。

趨勢科技推出遠端網頁內容掃描服務
因為網路安全已經是最嚴重的資安議題，對於許多提供網路服務和架設電子商務網站的企業而言，網站內容的安全性攸關企業商譽和存續。臺灣趨勢科技資深技術顧問戴燊表示，為了解決企業對於網站內容的安全性疑慮，趨勢運用既有的WRS（網站信譽服務）技術，除了能夠為企業網站進行遠端系統弱點掃描之外，主要在於能提供遠端線上網頁安全掃描服務Worry Free Security，藉此判斷該網站是否潛藏惡意連結，或者是夾雜惡意程式在內的惡意檔案。

相較於許多現在已經普遍存在的線上系統弱點掃描，戴燊表示，對於許多電子商務網站而言，除了必須關切網站是否有系統漏洞之外，更擔心的是網站的內容遭到惡意竄改，被植入惡意連結或隱藏惡意程式在內，「這些網站的惡意內容，對於網站商譽將造成難以修補的影響，」他說。

戴燊指出，企業網站可以使用趨勢科技推出的Worry Free Security端線上網頁安全掃描服務，企業用戶不需要安裝任何的軟硬體設備，或提供特定Domain或IP，就可以由遠端掃描網站內容比對趨勢WRS的網頁信譽資料庫，檢視網頁內容是否異常。「趨勢科技也會針對通過掃描的網站，提供安全認證標章。」他說。

此外，趨勢科技可以動態開放API（應用程式介面）給電子商務網站，提供客製化的掃描服務。他也說：「趨勢科技WRS資料庫，每秒鐘都會有變化，在每天的掃描中，不同時段或許都有不同結果。企業用戶可依需求自訂掃描頻率。」

臺灣使用Hacker Safe線上掃描企業大約100家
許多線上掃描的服務，都是以提出警告的方式，提醒企業用戶留意系統本身的漏洞。目前全球最普遍的採用的線上掃描服務應該就是McAfee ScanAlert線上掃描服務，已經有超過70個國家、8萬個企業用戶使用該線上掃描服務。

數位資安（iSecurity）代理Hacker Safe已經3年，該公司總經理蘇隄表示：「目前臺灣大約有100家企業使用Hacker Safe的線上掃描服務，主要是針對不用登入帳號、密碼的公開網頁，所能找到已知的系統弱點進行遠端線上掃描。

蘇隄指出，Hacker Safe按照信用卡組織規範的弱點分成低、中、高、關鍵和緊急等5級弱點，只要當天進行Hacker Safe掃描時，該網站有超過3級以上（高、關鍵、緊急）的弱點存在，系統會主動通報網站擁有者進行該弱點修復，若超過72小時該弱點沒有修復完成，Hacker Safe的認證則會自動消失。

蘇隄表示，「Hacker Safe是目前VISA唯一指定，符合PCI認證的線上稽核服務。」而他也指出：「目前每天信用卡交易筆數超過2萬筆的交易單位，每一季必須進行的網路稽核，就是使用Hacker Safe做掃描。」他說。

Hacker Safe主要目的在於阻擋已知80％的弱點
不過，通過Hacker Safe認證並不表示百分百的安全，之前Hacker Safe網站也曾被駭客利用弱點入侵。具有白帽駭客背景的網駭科技資安技術顧問曾信田表示，這類Hacker Safe的線上掃描認證，主要目的在於阻擋已知80％的弱點，加上有3天的緩衝期，讓企業用戶儘速修補已知的重大漏洞。「通過Hacker Safe認證仍難杜絕20％的零時差攻擊，」曾信田說，因此才需要有其他例如滲透測試、源碼檢測的檢測手法搭配。

蘇隄表示，「目前仍沒有百分之百的安全性，」企業網站可以因為使用Hacker Safe，盡可能杜絕重大的系統弱點，提高駭客利用已知系統弱點入侵的難度外，若遇到有意挑釁的黑帽駭客，這類線上掃描只能是第一關的把關。

戴燊表示，目前趨勢全球先期導入的企業客戶中，也有不少已經使用Hacker Safe認證，還同步使用趨勢科技的Worry Free Security線上掃描服務。他說：「Worry Free Security偏重在網頁內容安全上，可以和專注在系統弱點的Hacker Safe做不同的專業分工。」
臺灣遊戲業者遊戲新幹線使用Hacker Safe的線上掃描認證服務。遊戲新幹線系統部協理蔣永和表示，先前有網友質疑遊戲網站有木馬或病毒，為了消除網友疑慮，從3年多前使用Hacker Safe此一第三方認證。蔣永和表示，遊戲新幹線網頁維護人員在新增或修改頁面程式時，藉由Hacker Safe的每日掃描，可檢查一些常見語法漏洞的，網站一有弱點就會接到通報，在立即改善下，網友抱怨也大幅減少。遊戲新幹線除了採用Hacker Safe外，也使用HiTRUST的VeriSign SSL憑證，提供線上交易加密網頁。蔣永和表示，對遊戲新幹線而言，取得這類線上安全認證，有助於爭取網友對網站安全服務的信心。

蘇隄表示，Hacker Safe除了掃描公開網頁的系統弱點外，企業若願意提供帳號、密碼，Hacker Safe也可以進行後端網頁的系統掃描。但他認為：「Hacker Safe由機器自動化的排程掃描，還是不能取代人工的滲透測試（PT）或者是系統上線前的源碼檢測。」他說，「這些掃描檢測都不是2擇1的單選題，每一個都具有不同的功能，要達到更好的網站安全，勢必得分工。」

目前也有其他資安廠商針對推出的線上資安服務，並提供資安認證標章的識別，例如專注網頁安全性的阿碼科技，推出Hack Alert的資安認證標章，可以掃瞄特定URL網頁是否內含惡意連結或惡意程式。另外一家由白帽駭客組成的資安公司網駭科技，也將於4月推出Web Alert 網頁風險掃描的線上資安認證服務，主要是針對網頁內容是否有惡意連結或惡意程式進行掃描。文⊙黃彥棻