- A+
显示不全请点击全屏阅读
通常别人问我这边主要做哪些事情,我回答渗透测试的时候,非安全方向的人大多都不懂这是个什么东西,后来对于这种情况干脆都直接说做入侵测试,跟黑客入侵一样的事情,区别在于我们是授权入侵。
对于不输出安全业务来挣钱的企业来说,安全像汽车一样是个消耗品,隔不久就需要投入不少资源做保养,不过这是一个很有必要的事情,而入侵测试就相当于保养的时候各种各样的检查。相比传统安全公司提供的渗透测试,我们的价格看似高一截,但是对比服务内容就会发现,我们做的已经不是目前市场所认知的“渗透测试”,而是近乎全真的入侵测试,这里面有很大的不一样,今天我们做的就是要颠覆这个认知。
首先单从服务内容上面来讲
市场对渗透测试的认知:
给出指定域名或者IP,服务提供方通过扫描器以及人工查找限定范围内漏洞(不会渗透该公司其他域名),找到安全问题,最后输出一个渗透测试报告。
传统安全公司的做法:
沟通好渗透测试范围和时间,对指定的范围进行常规漏洞扫描和人工检查,按约定时间交付渗透测试报告,通常为了推进安全设备售卖而以敲门砖的形式免费赠送。
我们的入侵测试:
不完全限定渗透范围, 全真黑客入侵测试,使用手段包括但不限于常规主机和应用漏洞、社会工程学(钓鱼、信息收集、直接定向欺骗等等)、0day攻击、办公区wifi入侵以及渗透范围扩展(员工个人、第三方服务提供商)等等。
所以单从服务内容上面可以看到,我们的入侵测试更加高级,其中高级的点有以下:
1.更加接近黑客真实入侵。 2.使用社会工程学以及0day等无法依赖通用扫描器进行的攻击手段,更加专业性。 3.一次性把所有域、所有主机整体安全性看清了。 4.我们的入侵测试已经上升到APT的形式 5.推动服务的目的不同,传统安全公司偏向敲门砖。 6.提供入侵报告人工review会议和咨询服务,帮助客户看懂问题。
从效果上来看,我们的攻无不克的入侵成功率相信最有说服力(入侵成功:指控制核心业务及数据库)。
如果想体验下可以到 http://www.aliyun.com/product/aps/ 预约。
Tags:
渗透测试,
如果您喜欢我的博客,欢迎点击图片定订阅到邮箱 也可以点击链接【订阅到鲜果】
如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
