简介

内外网渗透测试服务

阅读 35  ·  发布日期 2018-05-03 15:13:33

渗透测试是通过模拟恶意黑客的攻击方法,帮客户评估计算机网络系统的纵深安全性能。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

标签
详细内容

外网渗透测试服务

 渗透测试是通过模拟恶意黑客的攻击方法,帮客户评估计算机网络系统的纵深安全性能。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

通过外网渗透测试帮助客户全面了解网络防御系统的安全强度,发现逻辑性更强或更深层次的漏洞,直观反映漏洞的潜在危害。为客户提供网络安全状况方面的具体证据,为管理层制定出切实可行的有效的安全管理制度提供强实的决策依据。

外网渗透测试的流程

在签订服务合同后,为保障客户的利益,联旭科技将同时和客户签订相应的保密协议。确定双方的权利和责任后,将按照下图所示流程进行外网渗透测试实施。

图片关键词

外网渗透测试的内容

1、方案制定

项目基本情况及目标介绍,渗透测试实施方案及计划,渗透测试成果的审核确认,渗透测试实施的风险规避

2、信息收集

对整体网络、系统的结构、拓扑、资产信息等进行了解,收集和整理信息系统相关信息,包括信息系统包含的网络设备、安全设备、主机系统、应用系统等各个层面的信息。

3、漏洞挖掘

通过工具扫描、工具检测、手工检测等方式,发现信息系统存在的脆弱点。工程师对扫描结果进行分析,由点发散至面,进一步挖掘系统漏洞,并将所有漏洞进行分类、汇总。

4、权限提升

根据前期收集到的安全漏洞,通过工具提权、手工提权等方式,获取更多更高的系统管理权限,并取得信息系统相关重要数据。

5、敏感信息获取

在获得一定权限后,通过分析源代码、搜索文件、查询数据库等方式检验能否获取系统存在的敏感信息,如用户帐户信息、财务信息、交易信息等。

6、测试结果分析及报告编制

根据前期各部分的安全服务工作,各任务中间记录,总结信息系统存在的安全问题,进行安全情况综合分析,并编写渗透测试报告。

7、回归测试(复查)

双方根据初步渗透测试报告对已发现问题进行修补加固后,渗透测试团队对加固成果进行复查及总结,并给出进一步切实可行的安全加固指导意见,协助对疑难漏洞进行分析并协助解决。

外网渗透的风险控制

  • 时间/时机的选择

  • 用例的选择(禁止选项)

  • 目标的细分和遴选

  • 监测,提供全过程审计材料

您的收益

  • 满足合规要求: 如在等级保护建设或相关行业要求作为一项必选的安全服务,对系统需要进行渗透测试以验证黑客攻击的能力,通过渗透测试,满足上级的监管相关要求。

  • 满足用户需求:能够直观地反映出系统及业务存在的风险,为进一步的整改或建设提供重要的参考依据,保障业务的正常开展。

  • 提高安全意识:信息安全是一个整体工程,渗透测试有助于组织中的所有成员意识到自己的岗位同样可能提高或降低风险,有助于内部安全的提升。

  • 其它方面:异常的安全事件带来的风险,通过渗透测试还原入侵的过程,为加固提供必要的证据等。


内网渗透测试服务

渗透测试是通过模拟恶意黑客的攻击方法,帮客户评估计算机网络系统的纵深安全性能。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

内网渗透测试是通过模拟黑客攻击操作系统、服务、应用、不当配置或者用户行为的方式,通过利用内部信息系统弱点和缺陷来评估信息技术基础设施安全的一种评估方法。测试过程将自动化测试与人工测试相结合,在可控范围内系统地对网络、域控、服务、应用程序程序、移动设备以及其他接触点进行攻击。一旦可以成功对漏洞进行利用,我们的安全分析员将会试图开启后续漏洞,通过特权提升来对电子资产进行更深入的访问和更深层次的安全检查。渗透成功后将过程中被成功利用的漏洞和缺陷形成综合报告。并将发现的漏洞整合起来,整体分析来支持优先整治。

内网渗透测试的流程

在签订服务合同后,为保障客户的利益,联旭科技将同时和客户签订相应的保密协议。确定双方的权利和责任后,将按照下图所示流程进行外网渗透测试实施。

 1521440376381500.jpg

 内网渗透测试的内容

2.1 方案制定

项目基本情况及目标介绍,渗透测试实施方案及计划,渗透测试成果的审核确认,渗透测试实施的风险规避

2.2 信息收集

对组织内部网络拓扑、IP、端口、服务等信息进行了解,收集和整理网络系统的相关信息,包括网络设备、安全设备、主机系统、内网密码、应用系统等各个层面的信息。

1521440376272957.jpg

2.3 漏洞分析

通过工具扫描、工具检测、手工检测等方式,发现信息系统存在的脆弱点。工程师对扫描结果进行分析,由点发散至面,进一步挖掘系统漏洞,并将所有漏洞进行分类、汇总。

2.4 漏洞利用

根据前期收集到的安全漏洞,通过弱口令、WCE、Dump、溢出等工具和方式,获取更多更高的系统管理权限,并取得域控服务器或重要计算机的相关重要数据。

2.5 敏感信息获取

在获得一定权限后,通过搜索文件、查询数据库等方式检验能否获取系统存在的敏感信息,如用户个人资料、公司文件、财务信息、交易信息等。

2.6 测试结果分析及报告编制

根据前期各部分的安全服务工作,各任务中间记录,总结信息系统存在的安全问题,进行安全情况综合分析,并编写内网渗透测试报告。

2.7 后渗透测试

双方根据初步渗透测试报告对已发现问题进行修补加固后,渗透测试团队对加固成果进行复查及总结,并给出进一步切实可行的安全加固指导意见,协助对疑难漏洞进行分析并协助解决。

内网渗透的风险控制 

  • 时间/时机的选择

  • 用例的选择(禁止选项)

  • 目标的细分和遴选

  • 监测,提供全过程审计材料

您的收益 

  • 满足合规要求:如在等级保护建设或相关行业要求作为一项必选的安全服务,对系统需要进行内网渗透测试以验证非法攻击的能力,来满足上级监管的相关要求。

  • 满足用户需求:能够直观地反映出系统及业务存在的风险,为进一步的整改或建设提供重要的参考依据,保障业务的正常开展。

  • 提高安全意识:信息安全是一个整体工程,内网渗透测试有助于组织中的所有成员意识到自己的岗位同样可能提高或降低风险,有助于内部安全的提升。

  • 其它方面:异常的安全事件带来的风险,通过内网渗透测试还原入侵的过程,为加固提供必要的证据等。