執行「人員訪談」及「工單檢測」等管理面向。由資安顧問進行訪談,確認政策落實度;輔以自動化工具與人工檢視,針對網路封包、設備設定進行深度檢測,產出合規性評估報告。
涵蓋「網路架構安全」檢視、「惡意活動」偵測與分析、「網路設備與伺服器」安全設定檢測及防火牆規則、帳號權限管理,以及 GCB 政府組態基準合規性檢視。
利用專業級自動化弱點工具 (如 Nessus、OpenVAS) 結合端點日誌(Log)分析。系統自動對照漏洞資料庫,找出已知風險並提供 CVSS 評估建議。
針對「作業系統」、「Web App」與「資料庫」進行檢測。重點檢測 XSS 注入、SSL 加密漏洞、未修補之系統更新等。
模擬駭客思維,執行「黑箱」、「灰箱」及「白箱」測試。測試人員利用駭客工具與技巧,嘗試繞過防禦機制,實際驗證漏洞的可利用性及對核心資料庫的影響程度。
專注邏輯漏洞、深層安全弱點、帳號驗證及權限提升 (Privilege Escalation) 商業邏輯漏洞,以及傳統弱掃無法發現的客製化程式碼漏洞。
依據企業屬性「客製化」釣魚郵件模板(如近期熱門社會議題、薪資通知、快遞相關)。系統自動發送並精確追蹤使用者行為(如點擊、下載附件),以便進行後續演練分析。
測試同仁資安意識強度。重點檢測員工是否能識別偽造寄件者、惡意附件、釣魚網站,以及面對社群誘使時的警覺性提升程度。