中科汇能MEES护航服务

渗透测试服务


渗透性测试是对安全情况最客观、最直接的评估方式,主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,目的是侵入系统,获取系统控制权并将入侵的过程和细节产生报告给用户;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点,由此证实用户系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。 

1、渗透测试范围选定

中科汇能根据客户安全需求及重要业务系统的结构,并充分考虑到体系安全、系统运维、业务运行,测试的范围确定以下渗透对象网络设备、主机操作系统、应用系统、数据库系统。

2、渗透测试接入

中科汇能根据客户安全体系实施情况及测试需求制定渗透测试接入点。

3、渗透测试方式

(1)内网测试渗透测试人员由内部网络发起测试,这类测试能够模拟企业内部违规操作者的行为,并绕过了防火墙的保护;常用渗透方式:远程缓冲区溢出 ,口令猜测,以及b/s或c/s应用程序测试。

(2)外网测试渗透测试人员完全处于外部网络,模拟对内部状态一无所知的外部攻击者的行为。包括对网络设备的远程攻击,口令管理安全性测试,防火墙规则试探、规避,web及其它开放应用服务的安全性测试。

4、渗透测试方法

(1)黑箱测试

渗透者完全处于对系统一无所知的状态。通常,这种类型的测试,最初的信息获取来自DNS、Web、Email及各种公开对外的服务器。

(2)白盒测试

中科汇能可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其他程序的代码片段,也能与单位其他员工进行面对面的沟通。这类的测试目的是模拟企业内部雇员的越权操作。

(3)隐秘测试

中科汇能隐秘是针对被测单位而言的。通常,接受渗透测试的单位网络管理部门会收到通知:在某些时间段进行测试。因此能够检测网络中出现的变化。但在隐秘测试中,被测单位也仅有极少数人知晓测试的存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。

5、渗透测试实施

1)数据收集

中科汇能通过漏洞扫描工具收集网络、主机、系统、应用已知漏洞信息,针对目前没有公开发布的溢出漏洞,采用人工综合获取。

2)漏洞分析

中科汇能通过分析收集来的数据,可发现高、中、低三个级别的风险、漏洞、溢出问题,组合成入侵者可能利用的途径,确认可以被利用的漏洞。

3)漏洞利用

中科汇能利用网络边界设备配置漏洞、主机所提供的高风险服务、自行和外包开发的应用程序代码溢出、数据库调用注入等问题进行渗透测试。并通过漏洞提升操作权限跳转相邻可信系统。

6、综合分析

中科汇能针对被测目标存在的漏洞被技术利用的可能性进行分析,按照客户信息安全体系保障的需求对现有信息系统中的设备、主机、系统、应用,对其攻击者或病毒等非人主体的可利用程度进行量化并赋值。

中科汇能根据渗透测试结果提供分析报告和整改建议方案、安全建设方案、安全体系建设、安全建设、安全运维等提供全生命周期的安全服务。



微信服务

微信公众号

电话咨询
解决方案
护航服务
QQ客服