【資安檢測】CMAS APP安全檢測、網站漏洞產品檢測服務

CMAS APP安全檢測、網站漏洞產品檢測服務

 適用對象: 本會會員 
 費用: 由本會全額補助請點我報名
 

  1. 服務背景

智慧醫療產品、醫材物聯網設備逐漸興起,醫院資安事件也廣為發生,為了防範資安事件不斷爆發,公司與醫院唯有通過資安檢測,才可真正探討出其背後潛藏資安風險,事前防範資安攻擊事件發生,同時,政府近年來亦大力推動資安法與衛福部醫療器材資安要求。
台北市醫療器材商業同業公會財團法人資訊工業策進會合作,試辦提供醫材相關之APP安全檢測與網站漏洞檢測服務給公會會員免費資安檢測2023/06/30,如欲申請並接受此服務,由該醫院、醫材製造及輸入維修販賣業者公司之代表人提出申請,或由有關人員徵得公司代表人同意後為之。
 

  1. 醫材資安檢測相關法規

行政院資安處公告資通安全法涵蓋非公務機關(即包含醫院),自2021年4月起辦理「行政院110年資通安全稽核計畫及稽核作業」,台灣政府已強制要求醫院落實相關資安政策,這也導致醫院同樣要求醫材業者遵循。 2021年5月衛福部更新「適用於製造業者之醫療器材網路安全指引」2021年8月衛福部「人工智慧 / 機器學習技術之醫療器材軟體查驗登記技術指引」,明確提出醫材業者上市前審查登記所應提供的軟體安全設計、風險管理與資安檢測報告等文件,因應醫療器材的個資保護及醫療器材安全性之考量,包含醫療器材APP藍芽傳送、網站安全、5G、AI、穿戴式行動裝置產品等技術均需符合資安之要求,並完成產品與軟體資安檢測。

 

  1. 醫材資安檢測服務

本服務每公司為乙單位,提供免費乙支APP安全檢測(IOS/Android 擇一)與乙個網站漏洞產品檢測,檢測後將會提供每公司資安檢測報告
辦理與提供服務、事後服務問卷僅供本會內部運用,如報名此資安檢測,亦表示同意本會進行事後服務問卷調查、電訪,作為收集市場服務分析。
檢測服務內容如下:

請點我報名
 

  1. CMAS行動App資安檢測  每公司乙支APP  安全檢測

(IOS/Android 擇一)
行動APP資安檢測雲端平台(CMAS),整合靜態與動態檢測技術,提供Android及iOS版APP雲端資安黑箱自動化檢測服務,檢測項目支援OWASP 行動安全風險與工業局APP基本資安檢測基準,包含:靜態分析(SAST)、動態分析(DAST),及參考支援國內外App資安規範。 

靜態分析:靜態分析以App封裝檔進行黑箱測試分析。         使用者不需提供App原始碼,CMAS自動拆解App檔案,檢測內容包含: 

App權限掃描  資料流追跡  檔案權限錯誤配置  連線憑證檢查錯誤機制  機敏資料分析  CVE漏洞/惡意程式掃描  程式碼加殼保護 

 

動態分析(DAST):執行App並記錄其系統及網路行為。 

動態分析將App安裝於手機或模擬器中執行,並記錄其系統、網路行為,因分析環境的不同(是否有JB/Root的分析環境),可收集的分析資料也不盡相同,檢測內容包含: 

支援多種分析環境:Android 7.0、iOS 13、iPhone/iPad  網路行為  機敏資料儲存/傳輸  加密演算法及金鑰分析  App行為分析  提權行為 

參考支援國內外App資安規範,包含:   支援國際OWASP Mobile Top 10 部分檢測規範(6個自動化測項)  支援國際OWASP MSTG L2等級部分檢測規範(21個自動化測項)  工業局行動App資安規範v3.2(自動化分析支援20個測項,其他部分以互動式分析進行。參考 NIST SP 800-163)

 

  1. 網站漏洞產品檢測  每公司乙個網站網站漏洞檢測 (網站資安產品服務檢測1次 + 一個月內提供1次複測) 

針對運行中的Web應用程式進行檢測,無需取得網站程式碼、原始碼,即可分析並檢測系統環境安全,將資安漏洞與弱點無所遁形,並列出高中低風險與網站漏洞,建議改善風險之問題,達到網站資安防護安全。

網頁端自動化掃描:針對企業網頁應用程式進行安全弱點掃描透過自動化掃描工具系統化快速篩出網頁的漏洞。    

面的攻擊場景模擬:模擬駭客入侵行為,完整檢測網站和 web 服務安全漏洞,確認資訊安全問題與可能發生的資安攻擊原因。 

資安風險檢測報告產出:提供檢測報告呈現內容,並針對上述檢測過程彙整網頁高中低風險弱點現況。  

資安檢測報告弱點解讀(進階服務項目 — 需另洽公會服務諮詢):針對檢測報告進行綜合分析,包含資安檢測報告弱點解讀或更進一步提供修補建議,協助客戶或網站開發人員/維護商執行修補工作。   


請點我報名

※備註:

APP檢測需提供:

  1. Android:未加密的APK (Android 7.0,必須支援x86及ARM Native Develop Kit)
  2. IOS:IPA檔案 (iOS 13.X,可執行iPhone或iPad的App)

※ APP執行自動化檢測需知
(1) 確保APP所連線之後端伺服器可正常連線溝通
(2) iOS App必需可在越獄手機執行,不可阻擋,以確保動態分析所需的網路行為及App API行為
(3) Android App必需可在Root的虛擬機執行,以確 保動態分析所需的網路行為及App API行為
(4) App執行環境,必支援規格:Android 7.0,必須支援x86及ARM Native Develop Kit / iOS 13.X,可執行iPhone或iPad的App
(5) 確保APP為可被靜態分析檢測(不能加密、不能混淆)
 
網站、主機檢測需提供:公司網址、IP(建議提供可進行檢測時間、網站主機測試環境為優) 

   


請點我報名