您的位置 » 首页 » 人文创业 » 深度理解:十万块能买什么样的入侵体验?

深度理解:十万块能买什么样的入侵体验?

发表于2年前 | 作者: seay | 分类: 人文创业 | 孵化于:2015年07月07日 | 文章热度:1,511 次 全屏阅读

显示不全请点击全屏阅读

  通常别人问我这边主要做哪些事情,我回答渗透测试的时候,非安全方向的人大多都不懂这是个什么东西,后来对于这种情况干脆都直接说做入侵测试,跟黑客入侵一样的事情,区别在于我们是授权入侵。

  对于不输出安全业务来挣钱的企业来说,安全像汽车一样是个消耗品,隔不久就需要投入不少资源做保养,不过这是一个很有必要的事情,而入侵测试就相当于保养的时候各种各样的检查。相比传统安全公司提供的渗透测试,我们的价格看似高一截,但是对比服务内容就会发现,我们做的已经不是目前市场所认知的“渗透测试”,而是近乎全真的入侵测试,这里面有很大的不一样,今天我们做的就是要颠覆这个认知。

首先单从服务内容上面来讲
市场对渗透测试的认知:
给出指定域名或者IP,服务提供方通过扫描器以及人工查找限定范围内漏洞(不会渗透该公司其他域名),找到安全问题,最后输出一个渗透测试报告。

传统安全公司的做法:
沟通好渗透测试范围和时间,对指定的范围进行常规漏洞扫描和人工检查,按约定时间交付渗透测试报告,通常为了推进安全设备售卖而以敲门砖的形式免费赠送。

我们的入侵测试:
不完全限定渗透范围, 全真黑客入侵测试,使用手段包括但不限于常规主机和应用漏洞、社会工程学(钓鱼、信息收集、直接定向欺骗等等)、0day攻击、办公区wifi入侵以及渗透范围扩展(员工个人、第三方服务提供商)等等。

所以单从服务内容上面可以看到,我们的入侵测试更加高级,其中高级的点有以下:

1.更加接近黑客真实入侵。
2.使用社会工程学以及0day等无法依赖通用扫描器进行的攻击手段,更加专业性。
3.一次性把所有域、所有主机整体安全性看清了。
4.我们的入侵测试已经上升到APT的形式
5.推动服务的目的不同,传统安全公司偏向敲门砖。
6.提供入侵报告人工review会议和咨询服务,帮助客户看懂问题。

从效果上来看,我们的攻无不克的入侵成功率相信最有说服力(入侵成功:指控制核心业务及数据库)。

如果想体验下可以到 http://www.aliyun.com/product/aps/ 预约。

Tags:

渗透测试,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/4173/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)