导图社区 阿里云渗透测试
渗透测试(Penetration Test)是一种黑盒安全测试方法,安全专家通过模拟真实黑客的技术手段对目标进行漏洞检测,突破系统的安全防护手段,深入评估漏洞可能造成的实际影响。以攻击者思维,模拟黑客对业务系统进行全面深入的安全测试,帮助企业挖掘出正常业务流程中的隐藏的安全缺陷和漏洞,并提出修复建议。
编辑于2024-01-17 10:19:49本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
社区模板帮助中心,点此进入>>
本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
阿里云渗透测试
产品简介
什么是先知(安全众测)
产品介绍
先知(安全众测)是一个帮助企业建立私有应急响应中心的平台(帮助企业收集漏洞信息)。企业加入先知(安全众测)平台后,可自主发布奖励计划,激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞,保证安全风险可以快速进行响应和修复,防止造成更大的安全损失。
先知(安全众测)服务旨在为企业建立高效完善的安全应急响应中心(Security Response Center)。企业通过入驻先知(安全众测)平台,可以借助先知平台众多优质、可信的白帽子及时发现现有业务的安全问题,包括业务逻辑漏洞、权限问题等安全工具无法有效检测的漏洞等,尽早发现存在的漏洞可以有效地减少企业可能的损失。并且,随着业务的不断发展,通过白帽子的持续安全检测可以及时发现新业务的安全问题。先知平台会为所有入驻企业的漏洞严格保密,从而避免漏洞被恶意宣传。
功能描述
自主设定奖励计划
企业可以自由设定高、中、低危漏洞的奖励金额和奖励范围,安全专家可实时查看到奖励计划。
漏洞收集
加入先知(安全众测)平台后,外部安全专家可通过先知平台给企业提交漏洞,提交后将由平台进行审核,您也可同步看到进度。
免费审核漏洞
公测期间,外部安全专家提交的漏洞,平台免费为企业进行审核,审核后将通知企业进行漏洞修复。
协助漏洞修复
先知平台会协助用户进行修复漏洞,若可以提供修复方案,平台会给企业提供参考的漏洞修复方案。
什么是渗透测试
渗透测试(Penetration Test)是一种黑盒安全测试方法,安全专家通过模拟真实黑客的技术手段对目标进行漏洞检测,突破系统的安全防护手段,深入评估漏洞可能造成的实际影响。
渗透测试服务由阿里云提供,参与渗透测试的人员为阿里云渗透测试专家。渗透测试服务可以帮助您发现当前系统中存在的安全隐患,增加信息安全的认知程度,同时也可以检验当前防御手段的有效性,有助于提升客户网络安全水平。
安全服务介绍
渗透测试
阿里云提供的渗透测试服务内容及服务等级协议(SLA)如下:
服务内容 服务分类 服务描述 服务范围 服务的交付件 应用系统测试 基础业务逻辑测试 阿里云以攻击者(黑客)思维,对业务系统进行全面深入的安全测试,帮助客户排查正常业务流程中隐藏的安全缺陷和漏洞,并提出修复建议,助力客户先于攻击者(黑客)发现安全风险,排查安全隐患。 内网和外网资产 《漏洞测试报告》 《修复意见以及复测报告》 OWASP TOP 10漏洞测试 第三方组件测试 权限认证测试 安全配置测试 业务流程测试 移动app测试 客户端测试: 安装包测试 数据传输安全测试 组件安全测试 安全增强项测试 应用更新安全测试 对于移动app的应用,客户需要同时考虑客户端和服务端的安全。阿里云全量覆盖app的整个安全生命周期,对安全加固和数据合规等做出深度测试。 服务端测试: 账号体系安全测试 基础业务安全测试 代码保护测试 动态保护对抗测试
渗透测试的服务流程图如下:
攻防演练
阿里云提供的攻防演练服务内容及服务等级协议(SLA)如下:
服务内容 服务分类 服务描述 服务范围 服务的交付件 网络安全现状调研评估服务 资产梳理 阿里云针对客户暴露在内网和外网的资产进行全面的清查梳理,并对于检测到的所有暴露在外网的端口及服务进行排查。 阿里云梳理客户的网站、系统、平台,明确网站与系统的主管单位和具体责任人,形成详细清单。 外网资产和内网资产 《互联网开放资产清单》 《应用系统资产清单》 资产风险排查 阿里云通过专用工具和人工结合的方式,对客户的内网资产开展全面清查,根据客户的现有资产表全面开展漏洞扫描、弱口令检查、入侵痕迹排查、开放端口核查、无用系统及账号清理等工作。 内网资产 《漏洞扫描报告》 《弱口令扫描报告》 《主机安全检查报告》 协助资产风险修复 阿里云协助客户对内网资产排查的结果进行梳理,对漏洞修复的优先级给出专业意见,并提供漏洞的修复指导建议。 《漏洞修复建议》 渗透测试 阿里云借鉴黑客攻击的手法和技巧,在可控的范围内通过多方式、多角度进对客户外网资产进行渗透,最大限度的发现漏洞,以达到网络防御能够按照预订计划正常运行的目的。 外网资产 《XX系统渗透测试评估报告》 网络架构安全分析 阿里云分析客户当前网络架构中的安全能力现状,以及关键业务流的流向等,便于后续进行安全能力缺陷补充及监控分析处置。 无 《网络架构安全分析报告》 安全意识评估 阿里云为了检测客户的安全意识培训效果,加强安全意识认同感,有必要开展网络安全意识评估。阿里云采取邮件钓鱼、电信诈骗、身份仿冒、办公区走访等模拟社会工程学方式进行安全意识评估。 无 《安全意识评估报告》 红蓝对抗实战演练服务 红蓝对抗演练组织 阿里云协助客户统筹红蓝对抗实战攻防演练的方案、计划及各项工作。 在演练结束后阿里云梳理演练过程中蓝军的攻击思路、成果路径、攻击手法,红军协防过程中监测到的攻击事件、攻击特征、木马、事件处置措施;根据红蓝对抗成果总结实战经验,分析防护能力、安全制度的缺陷,商讨可落地的解决方案;协助客户对发现的问题进行整改和加固。 无 《红蓝对抗演练复盘报告》 《红蓝对抗演练阶段性报告》 《全网全端口资产》 蓝军(攻击队)服务 由阿里云安全攻击队按照攻防演练标准,开展网络入侵,寻找攻击路径,以获取目标系统的关键信息(包括但不限于资产信息、重要业务数据、代码或管理员账号等)为目的,发现客户的安全漏洞和隐患,摸索客户的安全防护能力;演练结束后,应做好记录,整理成果,并清理攻击痕迹。 无 《红蓝对抗-蓝军攻击报告》 红军(协防)服务 根据演练的资产范围,阿里云派驻1名工程师协助客户做好攻击监测和应急处置工作,实时对攻击行为进行监测,挖掘入侵事件,研判并处置事件,保障业务系统的安全平稳运行;验证各项安全协同机制和应急处置的机制能否正常运转,协助客户进行分析优化。 无 《红蓝对抗-协防工作日报》
攻防演练的服务流程图如下:
应用场景
企业经常被其他平台曝光漏洞,对声誉会造成很大影响,甚至造成直接金钱损失。因此,企业需要建立一个漏洞收集渠道,以免外部白帽子将漏洞提交到其他平台。
企业加入先知(安全众测)平台后,可自主发布奖励计划,吸引先知平台上的白帽子提交漏洞。同时,先知平台不会公开任何漏洞细节。
名词解释
白帽子
白帽子指通过先知平台参与漏洞提交过程的安全专家。白帽子能够识别计算机系统或网络系统中的安全漏洞,但并不会恶意利用,而是报告漏洞,帮助企业在被其他人恶意利用之前修复漏洞,维护计算机和互联网安全。
先知称号
白帽子通过提交漏洞可获得先知称号,最终根据获得的积分来决定先知的等级,所以可以看到“四级先知”、“五级先知”等名词。
奖励计划
加入先知(安全众测)平台的企业可以设置奖励计划,即企业高、中、低危漏洞分别对外展示奖励金额,最终先知平台的运营人员也会根据这个奖励金额来决定发放多少钱给白帽子。
奖励系数
高、中、低危漏洞均对应固定范围的贡献值,加入先知(安全众测)平台的企业只需要设定奖励系数即可。例如,高危漏洞基础贡献值为60-80分,企业设置奖励系数为10,则最终高危漏洞奖励计划的金额范围是600-800元。
产品优势
私有的安全中心
不公开任何漏洞标题及细节
不进行漏洞负面炒作和公关
完全自定义漏洞奖励标准
可靠的安全专家
100% 支付宝实名认证的安全专家
共享阿里巴巴集团安全应急响应中心(ASRC)安全专家团队和能力
漏洞提交者可靠,漏洞影响可追踪
公正的漏洞运营
共享阿里巴巴集团漏洞运营团队的安全能力
漏洞审核流程私密、公正
奖金评定、等级确定双重审核
可信的先知平台
建立安全专家与企业联系的桥梁
加入先知(安全众测)平台,共建互联网生态圈
信任、闭环、共赢的先知平台