滲透測試是一項重要程序,可以提供受測試目標在某個時間點的安全概況。由於滲透測試的結果高度依賴執行評估的服務供應商及測試人員,因此選擇合適的合作夥伴至關重要。有關服務供應商應採用經驗證且可重複的評估方法,擁有經驗豐富且經過審查的測試人員,但更重要的是,其真正為您著想!
由不當的服務供應商及測試人員執行的滲透測試,可能導致於評估期間收集的敏感資訊遭泄露,亦可能誤給人安全感,從而導致更不利的後果。
威聯集團透過設定目標、審查我們的系統、制定糾正和預防措施以及進行改進,尋求持續提升。因此,我們決定接受CREST對我們的滲透測試服務評估,並成功成為香港及亞洲地區獲CREST認證的滲透測試服務供應商。
CREST是一家非營利性機構,致力於滿足技術資訊安全市場的需求,而該市場需要受監管的專業服務行業所提供的服務。
CREST是技術資訊安全行業的代表,其可:
CREST為希望購買滲透測試服務、威脅情報或事故應變服務的機構提供信心保證,確保服務提供者是具備最新漏洞及真實攻擊者所用技術的前沿知識、技術及能力的合格人員。此外,CREST旨在提高安全測試行業的專業水平,對機構成員訂有一系列要求,以確保提供統一標準的測試服務。
有關CREST國際背景資料的PDF文件請點擊此處:CREST國際簡介
CREST專業證書及服務供應商認證將為香港的滲透測試服務買家提供信心保證,確保服務提供者是具備前沿知識、技術及能力的合格人員,並由訂有適當政策、流程及程序的專業服務公司提供支援。在香港引入CREST滲透測試證書及認證後,當局計劃在事故應變、惡意軟件分析及更廣泛的資訊安全架構等領域引入更多CREST證書及認證。若身為新加坡公民的專業人士欲取得CREST證書,可以申請政府補貼,以支付部分認證費用。小型服務供應商可以申請政府資助,以支付申請成為CREST成員公司的部分費用。
網絡安全局(CSA)局長David Koh先生表示:「網絡安全局旨在保證香港的網絡空間對企業、個人及整個社會而言均安全無虞。為此,我們需要與網絡安全生態系統中的多個利益相關方建立穩固的合作夥伴關係。CSA、CREST與AISP之間的合作關係將提升我們的滲透測試人員的專業水平,並有助於提高香港網絡空間的安全性。滲透測試對於評估我們的網絡安全水平非常重要,並且鑒於網絡威脅的頻率及複雜程度愈來愈高,這對大型企業及中小企業而言均為必不可少的服務。透過提高我們的網絡安全專業人員(如滲透測試人員)的能力標準,我們將使新加坡的網絡空間對每個人而言均更加安全。」
網絡安全局(CSA)關於為何引入CREST證書及認證的聲明摘錄(https://www.csa.gov.sg/news/press-releases/crest)
威聯集團認為,鑒於服務供應商及滲透測試人員在服務過程中可能獲取的資訊類型,滲透測試極為敏感。
必須保護任何形式的資訊免受內部和外部威脅和漏洞的影響,以確保在整個資訊有效期內保持資訊的機密性、完整性及可用性。
因此,威聯集團建立了一個滲透測試服務政策框架,為我們的客戶提供所需的保證,確保以可信賴、誠信及符合我們行為守則的方式管理其資訊。我們對安全的關注及質量保證令客戶滿意並堅信,我們的服務可以滿足他們的需求,並且力爭以安全可靠的方式超越其期望。
我們的服務由擁有多年豐富攻防經驗的高質素安全專業人員提供,他們均持有業內最具含金量的資質證書,包括CREST註冊滲透測試員(CRT)證書。