渗透测试

渗透测试服务着重于发现黑客的入侵路径以及系统存在的安全漏洞,全面了解系统可能存在的各种安全风险。云弈安全团队在不损害用户信息系统的情况下,根据黑客的攻击思维,参考黑客的攻击手段,指定攻击的路线,尽可能全面发现会导致黑客入侵的所有途径。通过渗透测试服务可检测网络安全纵深防护能力、清楚的了解高级攻击产生的最大危害,从而协助客户强化防护能力、引导正确的安全建设方向。

信息收藏
资产发现
社会工程学
物理入侵
获取入口
提升权限
权限维持
横向移动
内部信息收集
成品交付
用户痛点
User pain point
  • 01

    黑客攻击技术不断演进,而企业安全人员却因为繁忙等各种原因,不能及时更新应对方法

    黑客攻击技术不断演进,而企业安全人员却因为繁忙等各种原因,不能及时更新应对方法

  • 02

    传统的漏洞扫描不能发现高层次、复杂、相互关联的安全问题、无法及时检测出最新的安全漏洞并给予修补建议

    传统的漏洞扫描不能发现高层次、复杂、相互关联的安全问题、无法及时检测出最新的安全漏洞并给予修补建议

  • 03

    在实际损失发生前,安全建设的价值往往缺乏直观体现,因而由内部人员发现的安全问题较难得到重视,也难得到有效改善

    在实际损失发生前,安全建设的价值往往缺乏直观体现,因而由内部人员发现的安全问题较难得到重视,也难得到有效改善

  • 04

    企业现有的防御体系缺乏高水平攻防对抗场景下的实战验证,无法执行深层的安全体检,很难规避黑客攻击带来的损失

    企业现有的防御体系缺乏高水平攻防对抗场景下的实战验证,无法执行深层的安全体检,很难规避黑客攻击带来的损失

工作范围
Scope of work
  • 网络层渗透测试

    网络设备渗透测试
    网络安全策略有效性测试
  • 系统层渗透测试

    操作系统渗透:对WINDOWS、AIX、LINUX、SCO、SGI 等
    数据库系统渗透:ORACLE、MYSQL、INFORMIX、SYBASE等
  • 应用层渗透测试

    如 ASP、CGI、JSP、PHP等组成的 WWW 应用、邮件系统、FTP 服务系统、远程维护管理等
  • 口令猜解

    对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测
  • 检测企业Wi-Fi安全水平

    针对企业Wi-Fi无线网常见的安全问题进行检测,测试方法包括网络劫持、密码暴力破解、搭建钓鱼热点、ARP欺骗,以及路由器设备的版本和固件检测等
  • 入侵防御/响应体系

    对目标企业实施风险可控的高仿真模拟网络攻击,全方位检测其面对攻击时的安全设备告警、阻断能力,以及运维团队的入侵发现、事件响应能力等
服务优势
Service advantages
  • 01

    即时性、零误报

    在用户授权下随时进行非破坏性质的模拟黑客攻击,测试网站的安全性,发现系统的脆弱点,准确率高达99%

  • 02

    深度系统化检测

    利用不同的漏洞进行组合式攻击,从而发现逻辑性更强、更深层次的安全风险点,比黑客更早的发现漏洞

  • 03

    高度模拟攻击手法

    全专家经过实战检验的周密筹划和精心设计,结合最新攻击手法高度模拟黑客思维入侵企业,验证各种可能被黑客利用的潜在漏洞,列出详细的攻击手法与步骤,提供完整的修补建议并协助企业修补漏洞,从而全面提升企业安全水平

  • 04

    定制化解决方案

    通过不断挖掘多样化的攻击面,梳理具有行业特征的攻击路径,根据行业特征和客户要求定制攻击方案,展现不同场景下的攻击者入侵路径,针对性地提升企业安全建设水平

  • 05

    风险全局可控性

    在测试全程实行分级信息控制,严格保密系统数据与测试结果,做到人员可控、过程可控、环境可控、风险可控和成果可控,不影响企业正常业务

客户收益
Customer profit
  • 评估自身系统安全

    在落实开展安全项目前进行渗透测试,可以对自身信息系统的安全性得到较深的认知,有助于后续的安全建设

  • 提前发现自身安全短板

    协助用户从攻击角度发现系统中的安全最短板,协助企业有效的了解目前存在的隐性的安全漏洞和风险点

  • 验证网络安全指标

    在进行了渗透测试后,可验证经过安全保护后的网络是否真实的达到了预期安全目标、遵循了安全策略

  • 提升员工安全意识

    从日常办公行为和个人安全意识两个角度提升企业全体员工的网络安全意识

  • 健全安全管理体系

    从各个互联网入口到各层级网络区域,再到核心资产,帮助企业形成完备的纵深防御体系

  • 完善应急响应体系建设

    提供详细的可能攻击手法与步骤并训练企业运维人员的告警分析、风险评估以及事件响应能力,使其在攻击真正发生时,能借助各类安全日志和威胁情报准确判断,预知并消除风险

服务案例
Service case
010-60555155