碩天科技通過CREST滲透測試 強化雲服務的資安信心 智慧應用 影音
DForum0116
西柏科技

碩天科技通過CREST滲透測試 強化雲服務的資安信心

  • 張丹鳳台北

安華聯網為CREST授權實驗室。安華聯網
安華聯網為CREST授權實驗室。安華聯網

隨著數位經濟時代來臨,「產品服務化」(Product-as-a-Service)成為製造商創新轉型的關鍵途徑。長年自行設計、生產與行銷「CyberPower」品牌電源保護產品的碩天科技,迎合這個趨勢,於去年(2020)6月推出PowerPanel Cloud雲端解決方案,協助用戶隨時隨地監控與管理自家部署的CyberPower不斷電系統(UPS)。 

碩天科技軟體部資深經理林詠翔歸納,PowerPanel Cloud蘊含幾項優勢,除支援24小時全球使用、即時告警、人性化界面,並適用所有高中低階CyberPower UPS外,也標榜擁有高安全性。

碩天科技PowerPanel Cloud 產品成功通過CREST滲透測試。安華聯網

碩天科技PowerPanel Cloud 產品成功通過CREST滲透測試。安華聯網

為證明它達到一定資安層級,碩天決定高規格的測試要求,參考全球知名CREST組織所公告的滲透測試合格廠商名錄,委請台灣唯一被認可的安華聯網,依國際標準對PowerPanel Cloud 進行完整檢驗。

廣受國際企業信賴  成為滲透測試的業界標準

林詠翔表示,UPS是提供電力備援的基礎設施,多數使用者皆以UPS保護網路設備、資料庫主機等重要裝置,以確保關鍵服務不中斷,顯見UPS極為重要。因此用於遠端監控與管理UPS的PowerPanel Cloud服務,絕對需要具備最高等級的安全性,才能有效避免駭客入侵、防止用戶端的電力架構遭不當控制或破壞。

「碩天向來重視資安,自我要求以最高標準來測試PowerPanel Cloud」,林詠翔說,碩天先前尋求外部顧問公司的協助,針對PowerPanel Cloud執行滲透測試;但問題在於顧問公司僅憑自身的規範與經驗做檢測,未基於任何產業標準,碩天受測後根據修改建議加強安全性設計,但並不確定是否達到可受信任的安全等級,且沒有客觀之第三方認證。

因此碩天持續探尋一些在國際上廣受採用的滲透測試標準,後來輾轉接觸安華聯網、進而獲知CREST組織,瞭解它是一家非盈利性的國際資安認證機構,通過認證的266間公司遍佈全球,且深受金融業、高科技業的信賴。幾經評估,碩天認為通過CREST測試,將可增進PowerPanel Cloud的安全性與可靠度,因而委託安華聯網執行,並期望取得CREST測試後,能夠提升用戶對於PowerPanel Cloud的安心與信心。

提供專業顧問支援  協助擬定最佳修正方案

當初碩天尋求外部資安專業公司協助時,曾接洽多個對象,最終決定與安華聯網合作,主要基於幾個原因。首先碩天自認強項不在資安領域,有許多瑣碎、未被收斂的問題待釐清,安華聯網的團隊透過其專業性與標準流程,協助引導碩天理解這些問題。

其次碩天急欲尋求國際資安標準認證,但多數徵詢對象並未針對這個方向給出具體提案,唯獨安華聯網提供許多寶貴資訊,針對現今可供選擇的國際標準、逐項製作詳細簡報,亦動員技術人員與碩天進行細部溝通,協助碩天一步步整理出最合適的認證選項。

林詠翔接著說,再者執行滲透測試後,辛苦的一方是碩天開發團隊,可能需要執行修正工作,其間也難免有諸多疑問,對此安華聯網允諾提供專業支援,藉由顧問服務形式,協助碩天找到最佳修正方向。基於這些理由,碩天選擇與安華聯網建立合作關係。

當碩天選定CREST方案後,安華聯網隨即展開細膩的需求訪談,且針對碩天提出的任何問題,迅速給予精準回覆,幫助碩天加速擬定最合宜的測試方向;此外碩天開發團隊的任務繁重,同時間需要執行產品開發工作,以致屢屢需要調整測試時程,安華聯網皆全力配合,使林詠翔對安華聯網的專業實力和服務態度深感讚許。

2021年2月結束初測後,安華聯網提出完整報告,並依照問題迫切性、列舉高中低不同級別的安全補強建議。接著碩天舉行內部討論,針對修正過程可能遇到的種種實務挑戰,向安華聯網提出多次詢問,探討有無較不耗費時間與資源的做法、仍可達到相同的資安強化效果,經過來回研議,確定最終的修改方向;而在完成修正後碩天取得了帶有CREST標章的滲透測試報告,也等同正試宣告PowerPanel Cloud產品具備國際級的資安品質。

目前碩天在歐、美、亞、澳洲等地設有銷售據點,也在北美、法國、德國、俄羅斯等市場締造不俗銷售佳績。有感於客群散佈各地,不宜僅以個別顧問公司的在地經驗、來評斷PowerPanel Cloud的資安防護力,因而勇於尋求高規格的國際級CREST滲透測試,委託安華聯網執行嚴謹的資安檢測,期盼取得最充分證明,確認碩天產品安全可受信賴,使客戶真正安心採用PowerPanel Cloud雲端服務。