公司保安

「滲透測試？我間公司得幾個人，邊有咁多人嚟 hack 我？」 上個月，呢句話出自新蒲崗一間做禮品訂製嘅老闆阿 Tom 口中。今個月，佢唔再講呢句話。 點解？因為佢公司個網站俾人「放咗後門」，成個客戶資料庫被拖走，仲要收到勒索電郵：「俾三個比特幣，唔係就公開你啲客嘅電話地址。」Tom 走嚟問我：「我哋乜嘢保安都冇做過咩？我個網站用 Wix 整㗎，Wix 唔係包咗保安㗎咩？」 我話：「你間舖有冇裝閘？有。但有冇諗過，個賊可能唔係爆門，而係爬窗？」滲透測試，就係幫你搵返邊隻窗冇鎖好。今日同你拆解：點解幾千蚊嘅基本測試，可能係你公司最抵嘅投資。 一、首先，到底咩係「滲透測試」？ 先搞清楚一個成日撈亂嘅概念：漏洞掃描 (Vulnerability Scanning) 與 滲透測試 (Penetration Test)。 比較項目 漏洞掃描 滲透測試 形象比喻 用儀器 check 你間屋有幾多度門 真係搵個人試下點樣入到你間屋 操作方式 自動化軟件 run 一次，出份報告話你知邊度有漏洞 真人黑客模擬攻擊，試下「有漏洞嘅地方，到底入唔入到」 最終結果 「你度門鎖有問題」 「你度門鎖有問題，我用一張八達通 3 秒就開到，仲入咗去攞咗你本數簿」 簡單講：漏洞掃描係「話你知有問題」，滲透測試係「話你知個問題有幾大鑊」。中小企成日做嘅，多數只係前者，甚至乜都冇做。 二、真實案例：幾千蚊嘅測試，點樣救返 $50 萬生意 荃灣一間做食品批發嘅公司，有個官網可以俾客人落單。老闆一直覺得：「我個網係搵 freelancer 寫嘅，用咗幾年都冇事，應該安全掛？」後來經朋友介紹，搵人做咗一次基本滲透測試，盛惠 $8,000。 你估吓發現咩？ 測試員同佢講：「如果呢啲資料漏咗出去，單係私隱條例嘅罰款同聲譽損失，已經可以超過 $50 萬。」老闆當場面青唇白。 即晚，佢哋用兩小時改咗密碼、加咗登入限制同 IP 限制。總成本：$8,000。如果冇做測試，後果不堪設想。 三、中小企最常見嘅「三大保安錯覺」 四、專家建議：中小企應該點做滲透測試？…