硕天科技通过CREST渗透测试 强化云服务的网安信心

安华联网为CREST授权实验室。安华联网

随着数码经济时代来临，「产品服务化」(Product-as-a-Service)成为制造商创新转型的关键途径。长年自行设计、生产与行销「CyberPower」品牌电源保护产品的硕天科技，迎合这个趋势，于去年(2020)6月推出PowerPanel Cloud云端解决方案，协助用户随时随地监控与管理自家部署的CyberPower不断电系统(UPS)。 

硕天科技软件部资深经理林咏翔归纳，PowerPanel Cloud蕴含几项优势，除支持24小时全球使用、实时告警、人性化界面，并适用所有高中低端CyberPower UPS外，也标榜拥有高安全性。

为证明它达到一定网安层级，硕天决定高规格的测试要求，参考全球知名CREST组织所公告的渗透测试合格厂商名录，委请台湾唯一被认可的安华联网，依国际标准对PowerPanel Cloud 进行完整检验。

广受国际企业信赖  成为渗透测试的业界标准

林咏翔表示，UPS是提供电力备援的基础设施，多数使用者皆以UPS保护网络设备、数据库主机等重要装置，以确保关键服务不中断，显见UPS极为重要。因此用于线上监控与管理UPS的PowerPanel Cloud服务，绝对需要具备最高等级的安全性，才能有效避免黑客入侵、防止用户端的电力架构遭不当控制或破坏。

「硕天向来重视网安，自我要求以最高标准来测试PowerPanel Cloud」，林咏翔说，硕天先前寻求外部顾问公司的协助，针对PowerPanel Cloud执行渗透测试；但问题在于顾问公司仅凭自身的规范与经验做检测，未基于任何产业标准，硕天受测后根据修改建议加强安全性设计，但并不确定是否达到可受信任的安全等级，且没有客观之第三方认证。

因此硕天持续探寻一些在国际上广受采用的渗透测试标准，后来辗转接触安华联网、进而获知CREST组织，了解它是一家非盈利性的国际网安认证机构，通过认证的266间公司遍布全球，且深受金融业、高科技业的信赖。几经评估，硕天认为通过CREST测试，将可增进PowerPanel Cloud的安全性与可靠度，因而委托安华联网执行，并期望取得CREST测试后，能够提升用户对于PowerPanel Cloud的安心与信心。

提供专业顾问支持  协助拟定最佳修正方案

当初硕天寻求外部网安专业公司协助时，曾接洽多个对象，最终决定与安华联网合作，主要基于几个原因。首先硕天自认强项不在网安领域，有许多琐碎、未被收敛的问题待厘清，安华联网的团队透过其专业性与标准流程，协助引导硕天理解这些问题。

其次硕天急欲寻求国际网安标准认证，但多数徵询对象并未针对这个方向给出具体提案，唯独安华联网提供许多宝贵信息，针对现今可供选择的国际标准、逐项制作详细简报，亦动员技术人员与硕天进行细部沟通，协助硕天一步步整理出最合适的认证选项。

林咏翔接着说，再者执行渗透测试后，辛苦的一方是硕天开发团队，可能需要执行修正工作，其间也难免有诸多疑问，对此安华联网允诺提供专业支持，藉由顾问服务形式，协助硕天找到最佳修正方向。基于这些理由，硕天选择与安华联网建立合作关系。

当硕天选定CREST方案后，安华联网随即展开细腻的需求访谈，且针对硕天提出的任何问题，迅速给予精准回覆，帮助硕天加速拟定最合宜的测试方向；此外硕天开发团队的任务繁重，同时间需要执行产品开发工作，以致屡屡需要调整测试时程，安华联网皆全力配合，使林咏翔对安华联网的专业实力和服务态度深感赞许。

2021年2月结束初测后，安华联网提出完整报告，并依照问题迫切性、列举高中低不同级别的安全补强建议。接着硕天举行内部讨论，针对修正过程可能遇到的种种实务挑战，向安华联网提出多次询问，探讨有无较不耗费时间与资源的做法、仍可达到相同的网安强化效果，经过来回研议，确定最终的修改方向；而在完成修正后硕天取得了带有CREST标章的渗透测试报告，也等同正试宣告PowerPanel Cloud产品具备国际级的网安品质。

目前硕天在欧、美、亚、澳大利亚等地设有销售据点，也在北美、法国、德国、俄罗斯等市场缔造不俗销售佳绩。有感于客群散布各地，不宜仅以个别顾问公司的在地经验、来评断PowerPanel Cloud的网安防护力，因而勇于寻求高规格的国际级CREST渗透测试，委托安华联网执行严谨的网安检测，期盼取得最充分证明，确认硕天产品安全可受信赖，使客户真正安心采用PowerPanel Cloud云端服务。