通(tōng)過模拟黑(hēi)客對(duì)客戶信息資産進行非破壞性攻擊測試,發現應用(yòng)系統中可(kě)能存在的(de)安全隐患和(hé)安全風險,提高(gāo)客戶應用(yòng)程序的(de)安全性。
a) 強化(huà)系統安全:充分(fēn)挖掘業務系統中可(kě)能存在的(de)潛在威脅點,提升系統的(de)安全性、穩定性。
b) 提升安全能力:讓客戶直觀感受網絡安全攻擊威脅,提高(gāo)各部門對(duì)整體網絡安全的(de)認知程度和(hé)安全能力。
c) 事前安全檢測:先于黑(hēi)客發現系統安全隐患,提前部署好安全防禦措施,減少不必要的(de)經濟損失。
d) 合法合規運營:滿足合法合規建設需要,避免因觸犯法律遭受懲罰。
1.測試需求方與公司項目負責人(rén)相互協商,明(míng)确雙方權利義務;
2.測試需求方向公司項目負責人(rén)明(míng)确授權并授權公司組織符合要求的(de)滲透測試人(rén)員(yuán)實施滲透測試;
3.測試需求方根據測試需求,向公司項目負責人(rén)提供需要進行測試的(de)資産信息,明(míng)确測試範圍、時(shí)間、地點;
4.公司項目負責人(rén)按照(zhào)測試需求方要求完成測試人(rén)員(yuán)的(de)确認以及測試環境、測試工具的(de)準備,并與測試需求方簽《滲透測試授權協議(yì)》。
滲透測試技術人(rén)員(yuán)根據測試需求方的(de)要求,選擇采取線上遠(yuǎn)程測試或前往客戶現場(chǎng)進行線下(xià)測試。
a)線上遠(yuǎn)程測試(外部測試):滲透測試技術人(rén)員(yuán)負責搭建遠(yuǎn)程測試環境、遠(yuǎn)程通(tōng)訊環境,在确保測試需求方知曉其系統即将展開滲透測試并再次确認同意測試的(de)前提下(xià),按照(zhào)《滲透測試行爲規範》标準進行滲透測試。
b)線下(xià)現場(chǎng)測試(内部測試):滲透測試技術人(rén)員(yuán)提前到達客戶指定現場(chǎng),對(duì)現場(chǎng)環境進行勘察,調試測試環境,在确保測試需求方知曉其系統即将展開滲透測試并再次确認同意測試的(de)前提下(xià),按照(zhào)《滲透測試行爲規範》标準進行滲透測試。
c)緊急漏洞處理(lǐ):滲透測試技術人(rén)員(yuán)在滲透測試服務過程中發現緊急漏洞,應第一時(shí)間向客戶及項目負責人(rén)反饋,由項目負責人(rén)與客戶進行溝通(tōng),在獲得(de)授權及簽署《緊急漏洞修複授權協議(yì)》的(de)前提下(xià),對(duì)緊急漏洞進行安全修複。
在完成滲透測試後,滲透測試技術人(rén)員(yuán)應對(duì)滲透測試數據進行整理(lǐ)彙總和(hé)分(fēn)析。
根據發現的(de)安全漏洞和(hé)安全隐患指出被測目标的(de)問題所在,然後提出相應的(de)改進建議(yì).
并最終完成《滲透測試報告》的(de)編寫。如客戶需要臨時(shí)修補的(de)情況下(xià),應提前告知客戶在修補過程中所産生的(de)影(yǐng)響.
并在漏洞修補前讓客戶簽訂《臨時(shí)漏洞修複授權書(shū)》。總體滲透測試項目完成後,所有文檔資料應通(tōng)過網絡安全部部門《文件存儲标準》統一加密後進行存檔.
Sec-scan安全團隊是上海蘇辛信息科技有限公司核心技術團隊,主要從事網絡安全産品研發、運維服務、技術培訓、應急響應以及WEB、APP、工控系統、應用(yòng)軟件系統等漏洞挖掘服務。團隊成員(yuán)擁有資深的(de)業務能力、豐富的(de)理(lǐ)論知識儲備和(hé)一線實戰經驗,被重慶市網安總隊列爲技術支撐團隊,曾多(duō)次向CNVD、CVE提交百萬級、千萬級的(de)通(tōng)用(yòng)工控系統漏洞、WEB系統漏洞,并多(duō)次參與互聯網攻防賽事,取得(de)了(le)優異的(de)成績。
專注于漏洞分(fēn)析與研究,主要擅長(cháng)web滲透、app滲透以及工控、物(wù)聯網等滲透測試,同時(shí)擅長(cháng)代碼審計、逆向工程、應急響應、網絡事件取證、漏洞修複、漏洞安全研究、技術培訓等,是重慶地區(qū)唯一每周持續向國家信息安全漏洞庫(CNVD)提交漏洞的(de)團隊,在整個(gè)國家信息安全漏洞共享平台(CNVD)7000多(duō)個(gè)隊伍中排名50位,是重慶地區(qū)排名最高(gāo)的(de)單位。多(duō)次獲得(de)CNVD以及上海同濟大(dà)學、上海外國語大(dà)學、上海交通(tōng)大(dà)學、天津南(nán)開大(dà)學等高(gāo)校榮譽表彰。
主要提供網絡安全應急響應、安全加固、安全意識培訓與安全技術培訓、應急演練、安全巡檢、專項安全檢查、風險評估、安全建設、信息化(huà)管理(lǐ)制度建設、等保2.0整改、網站監測、安全監測預警、通(tōng)報等運維服務。成員(yuán)大(dà)多(duō)都持有CISP、CISAW、PMP等行業證書(shū)。
