可信渗透测试

测试的痛点

渗透测试服务是为企业客户提供的一种信息系统安全检测服务。通过对网站及相关服务器等设备,进行非破坏性质的模拟入侵攻击,模拟侵入系统,获取系统权限,并将入侵过程和细节总结编写成测试报告,确定存在的安全威胁,及时提醒企业客户完善安全策略,降低安全风险。 由于我国的信息化建设的关键技术、关键设备还受制于人,开展风险评估工作、运用专门的技术和设备检测发现可能存在的后门和漏洞,是十分必要的防范措施。不要等到用户数据泄露、企业遭受致命打击时,才明白信息安全的重要性。

服务方案

通过过硬的安全项目研究及多年客户服务经验,SecZone可信渗透测试团队(简称:SECZONE-VULBOY)形成了一套以专业理论和技术为支撑的信息安全工程体系,具有完善的、多维度的测试手段,符合国际国内信息安全标准实施规范。

l 渗透测试

渗透测试采用OWASP Top 10 2017、CVE通用漏洞信息库在内的国际检测标准,参照PETS(Penetration Testing Execution Standard)国际渗透测试标准,通过7个阶段进行渗透测试,确保客户组织能够以一种标准化的方式来扩展一次渗透测试,而无论是由谁来执行这种类型的评估。

服务流程

服务内容

前期交互阶段

与客户充分沟通,让客户清晰了解和确定测试的范围和目标。

根据所掌握的客户需求、渗透目标、渗透环境,以及实施方法、实施时间、实施人员、实施工具等具体内容来编写相应的渗透测试方案。

客户给予书面委托和授权并签署保密协议。

信息收集阶段

运用所有可能的手段搜集目标系统信息,并进行探查,获知行为模式、运行机理,试图通过深入的探测,来确定在目标系统中实施了哪些安全防御机制,预测可能的攻击路线。

威胁建模阶段

在此阶段,通常需要将客户组织作为敌手看待,使用获取的情报信息,以攻击者的视角和思维来尝试利用目标系统的弱点。

漏洞分析阶段

一旦确定最为可行的攻击方法之后,我们将要考虑该如何取得目标系统的访问权。综合前几环节的信息,并从中分析和理解哪些攻击途径会是可行的。

渗透攻击阶段

在基本上能够确信特定渗透攻击会成功的时候,才真正对目标系统实施这次渗透攻击,如果在目标系统中很可能存在着一些你没有预期到的安全防护措施,使得这次渗透攻击无法成功。我们会进行进一步绕过或者记录在案。

扩展攻击阶段

后渗透攻击阶段从已经攻陷了客户组织的一些系统或取得域管理权限之后开始。在此阶段中,需要在客户系统中寻找可用信息,从攻击者的角度来进行进一步渗透。

报告阶段

报告是渗透测试过程中最为重要的因素,相比于测试阶段的“攻击者视角”,编写报告时我们是站在客户组织的角度上,来分析如何利用我们的发现来提升安全意识,修补发现的问题,以及提升整体的安全水平,而并不仅仅是对发现的安全漏洞打上补丁。

结果处理

我们向客户提交《渗透测试报告》之后,我们会严格按照《渗透测试保密协议》中的要求对渗透测试之中所获得的任何客户相关资料进行保密、销毁,以做到不泄露客户任何一丝信息,这也是我们的专业要求!

定期巡检与紧急响应

如果是一次性的安全测试服务到上面的第九阶段就结束了。

不过我们还可以提供包年的定期巡检与安全紧急响应服务,包年服务可以按季度或月度进行漏洞扫描、渗透测试等服务,一旦出现安全事件可以随时提供紧急响应,服务期间内科随时提供技术咨询与支持工作。

l 全面安全测试

以纵深防御原则为基础,贯穿整个安全测试过程。从外到内,从内至全。提供全方面400+安全测试项,使问题透明化,让用户能够清晰地知道哪里有问题,哪里没有问题。


l RedTeam测试

在全球网络安全态势下,RedTeam已经走在安全的前沿,成为了一种趋势。企业立体于纵深防御体系,利用真实的黑客视角对其校验。以攻促防,全方面促进企业安全建设体系。


l 安全加固服务

所有前期工作都是为了发现漏洞和安全隐患,在最后这部分的工作是围绕前面所有发现的问题进行修复,打补丁、改正错误配置、加强安全配置、加强权限限制、修复源码漏洞、部署相应的网络安全设备等。然后再进行复查,以确保所有的问题都已经解决。


方案优势

l 自主研发的安全测试平台

SecZone始终以自主创新为发展源动力,以S-SDLC解决方案为核心,以S-SDLC支撑平台为载体,向不同行业的客户提供覆盖软件开发全生命周期的软件安全开发咨询和落地服务。任何一个参与安全工程的工程师,遇到任何问题,都有强大的技术支持作后盾。

l 过硬的漏洞挖掘能力

SECZONE-VULBOY安全团队拥有十年以上的经验,一直以来,团队成员都会给各大平台提交0day漏洞。通过不断的总结与复盘,融合安全工程的多种方法,取其互补优势固话为SecZone流程,在客户服务中渠道了良好成绩与口碑。

l 专业规范的服务标准

在专业服务方案评估过程中,SECZONE-VULBOY将遵循和参照最新的、最权威的、最具有代表性的信息安全标准和评估原则,提供完善的服务保障体系,并在整个服务年限内,随时接受用户对安全工程质量、技术和安全工程服务人员的投诉,及时做出处理和答复。



上一篇:
下一篇: