簡介

內(nèi)外網(wǎng)滲透測試服務

閱讀 337  ·  發(fā)布日期 2018-05-03 15:13:33

滲透測試是通過模擬惡意黑客的攻擊方法,幫客戶評估計算機網(wǎng)絡(luò)系統(tǒng)的縱深安全性能。這個過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。

標簽
詳細內(nèi)容

外網(wǎng)滲透測試服務

 滲透測試是通過模擬惡意黑客的攻擊方法,幫客戶評估計算機網(wǎng)絡(luò)系統(tǒng)的縱深安全性能。這個過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。

通過外網(wǎng)滲透測試幫助客戶全面了解網(wǎng)絡(luò)防御系統(tǒng)的安全強度,發(fā)現(xiàn)邏輯性更強或更深層次的漏洞,直觀反映漏洞的潛在危害。為客戶提供網(wǎng)絡(luò)安全狀況方面的具體證據(jù),為管理層制定出切實可行的有效的安全管理制度提供強實的決策依據(jù)。

外網(wǎng)滲透測試的流程

在簽訂服務合同后,為保障客戶的利益,聯(lián)旭科技將同時和客戶簽訂相應的保密協(xié)議。確定雙方的權(quán)利和責任后,將按照下圖所示流程進行外網(wǎng)滲透測試實施。

圖片關(guān)鍵詞

外網(wǎng)滲透測試的內(nèi)容

1、方案制定

項目基本情況及目標介紹,滲透測試實施方案及計劃,滲透測試成果的審核確認,滲透測試實施的風險規(guī)避

2、信息收集

對整體網(wǎng)絡(luò)、系統(tǒng)的結(jié)構(gòu)、拓撲、資產(chǎn)信息等進行了解,收集和整理信息系統(tǒng)相關(guān)信息,包括信息系統(tǒng)包含的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、應用系統(tǒng)等各個層面的信息。

3、漏洞挖掘

通過工具掃描、工具檢測、手工檢測等方式,發(fā)現(xiàn)信息系統(tǒng)存在的脆弱點。工程師對掃描結(jié)果進行分析,由點發(fā)散至面,進一步挖掘系統(tǒng)漏洞,并將所有漏洞進行分類、匯總。

4、權(quán)限提升

根據(jù)前期收集到的安全漏洞,通過工具提權(quán)、手工提權(quán)等方式,獲取更多更高的系統(tǒng)管理權(quán)限,并取得信息系統(tǒng)相關(guān)重要數(shù)據(jù)。

5、敏感信息獲取

在獲得一定權(quán)限后,通過分析源代碼、搜索文件、查詢數(shù)據(jù)庫等方式檢驗能否獲取系統(tǒng)存在的敏感信息,如用戶帳戶信息、財務信息、交易信息等。

6、測試結(jié)果分析及報告編制

根據(jù)前期各部分的安全服務工作,各任務中間記錄,總結(jié)信息系統(tǒng)存在的安全問題,進行安全情況綜合分析,并編寫滲透測試報告。

7、回歸測試(復查)

雙方根據(jù)初步滲透測試報告對已發(fā)現(xiàn)問題進行修補加固后,滲透測試團隊對加固成果進行復查及總結(jié),并給出進一步切實可行的安全加固指導意見,協(xié)助對疑難漏洞進行分析并協(xié)助解決。

外網(wǎng)滲透的風險控制

  • 時間/時機的選擇

  • 用例的選擇(禁止選項)

  • 目標的細分和遴選

  • 監(jiān)測,提供全過程審計材料

您的收益

  • 滿足合規(guī)要求: 如在等級保護建設(shè)或相關(guān)行業(yè)要求作為一項必選的安全服務,對系統(tǒng)需要進行滲透測試以驗證黑客攻擊的能力,通過滲透測試,滿足上級的監(jiān)管相關(guān)要求。

  • 滿足用戶需求:能夠直觀地反映出系統(tǒng)及業(yè)務存在的風險,為進一步的整改或建設(shè)提供重要的參考依據(jù),保障業(yè)務的正常開展。

  • 提高安全意識:信息安全是一個整體工程,滲透測試有助于組織中的所有成員意識到自己的崗位同樣可能提高或降低風險,有助于內(nèi)部安全的提升。

  • 其它方面:異常的安全事件帶來的風險,通過滲透測試還原入侵的過程,為加固提供必要的證據(jù)等。


內(nèi)網(wǎng)滲透測試服務

滲透測試是通過模擬惡意黑客的攻擊方法,幫客戶評估計算機網(wǎng)絡(luò)系統(tǒng)的縱深安全性能。這個過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。

內(nèi)網(wǎng)滲透測試是通過模擬黑客攻擊操作系統(tǒng)、服務、應用、不當配置或者用戶行為的方式,通過利用內(nèi)部信息系統(tǒng)弱點和缺陷來評估信息技術(shù)基礎(chǔ)設(shè)施安全的一種評估方法。測試過程將自動化測試與人工測試相結(jié)合,在可控范圍內(nèi)系統(tǒng)地對網(wǎng)絡(luò)、域控、服務、應用程序程序、移動設(shè)備以及其他接觸點進行攻擊。一旦可以成功對漏洞進行利用,我們的安全分析員將會試圖開啟后續(xù)漏洞,通過特權(quán)提升來對電子資產(chǎn)進行更深入的訪問和更深層次的安全檢查。滲透成功后將過程中被成功利用的漏洞和缺陷形成綜合報告。并將發(fā)現(xiàn)的漏洞整合起來,整體分析來支持優(yōu)先整治。

內(nèi)網(wǎng)滲透測試的流程

在簽訂服務合同后,為保障客戶的利益,聯(lián)旭科技將同時和客戶簽訂相應的保密協(xié)議。確定雙方的權(quán)利和責任后,將按照下圖所示流程進行外網(wǎng)滲透測試實施。

 1521440376381500.jpg

 內(nèi)網(wǎng)滲透測試的內(nèi)容

2.1 方案制定

項目基本情況及目標介紹,滲透測試實施方案及計劃,滲透測試成果的審核確認,滲透測試實施的風險規(guī)避

2.2 信息收集

對組織內(nèi)部網(wǎng)絡(luò)拓撲、IP、端口、服務等信息進行了解,收集和整理網(wǎng)絡(luò)系統(tǒng)的相關(guān)信息,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、內(nèi)網(wǎng)密碼、應用系統(tǒng)等各個層面的信息。

1521440376272957.jpg

2.3 漏洞分析

通過工具掃描、工具檢測、手工檢測等方式,發(fā)現(xiàn)信息系統(tǒng)存在的脆弱點。工程師對掃描結(jié)果進行分析,由點發(fā)散至面,進一步挖掘系統(tǒng)漏洞,并將所有漏洞進行分類、匯總。

2.4 漏洞利用

根據(jù)前期收集到的安全漏洞,通過弱口令、WCE、Dump、溢出等工具和方式,獲取更多更高的系統(tǒng)管理權(quán)限,并取得域控服務器或重要計算機的相關(guān)重要數(shù)據(jù)。

2.5 敏感信息獲取

在獲得一定權(quán)限后,通過搜索文件、查詢數(shù)據(jù)庫等方式檢驗能否獲取系統(tǒng)存在的敏感信息,如用戶個人資料、公司文件、財務信息、交易信息等。

2.6 測試結(jié)果分析及報告編制

根據(jù)前期各部分的安全服務工作,各任務中間記錄,總結(jié)信息系統(tǒng)存在的安全問題,進行安全情況綜合分析,并編寫內(nèi)網(wǎng)滲透測試報告。

2.7 后滲透測試

雙方根據(jù)初步滲透測試報告對已發(fā)現(xiàn)問題進行修補加固后,滲透測試團隊對加固成果進行復查及總結(jié),并給出進一步切實可行的安全加固指導意見,協(xié)助對疑難漏洞進行分析并協(xié)助解決。

內(nèi)網(wǎng)滲透的風險控制 

  • 時間/時機的選擇

  • 用例的選擇(禁止選項)

  • 目標的細分和遴選

  • 監(jiān)測,提供全過程審計材料

您的收益 

  • 滿足合規(guī)要求:如在等級保護建設(shè)或相關(guān)行業(yè)要求作為一項必選的安全服務,對系統(tǒng)需要進行內(nèi)網(wǎng)滲透測試以驗證非法攻擊的能力,來滿足上級監(jiān)管的相關(guān)要求。

  • 滿足用戶需求:能夠直觀地反映出系統(tǒng)及業(yè)務存在的風險,為進一步的整改或建設(shè)提供重要的參考依據(jù),保障業(yè)務的正常開展。

  • 提高安全意識:信息安全是一個整體工程,內(nèi)網(wǎng)滲透測試有助于組織中的所有成員意識到自己的崗位同樣可能提高或降低風險,有助于內(nèi)部安全的提升。

  • 其它方面:異常的安全事件帶來的風險,通過內(nèi)網(wǎng)滲透測試還原入侵的過程,為加固提供必要的證據(jù)等。