如今,越来越多的组织面临各种类型的网络攻击,尤其是那些处理个人/敏感数据及金融业的公司。这种情况下,安全事件可能会造成灾难性后果,极难补救,甚至危及品牌存续发展的底线。
渗透测试是一种,通过模拟外部攻击者的网络攻击,来评估系统中漏洞的手段。它能揭示潜在的漏洞会怎样影响您的信息安全,比如外部攻击者可能能访问到哪些数据。根据我们掌握内部系统信息的多少,渗透测试被分为以下三类。
白盒测试指,测试者可以事先获取被测系统的所有信息,测试者具有与内部开发者或系统管理员相同的“视野”。
黑盒测试指,测试者不事先知道有关被测系统的任何信息,测试者必须在测试过程中获取信息。
此外,还有介于白盒和黑盒两者之间的方法,尤其适合处理大规模、复杂的系统。必要时,我们可以同时提供内部测试和外部测试。
在实践中,渗透测试有一个事先定义好的范围与边界,包括纳入测试的资源、设备、IP 地址、域名、其他资产等。
如有需要,我们还可以只在指定时间进行测试,比如在服务器负荷不大的晚上。
一旦确定了需要测试的内容,我们的专家团队就会开始自动和手动测试,寻找潜在漏洞。
测试结束后,我们将提供一份包含所有测试结果的测试报告,以及我们发现的所有漏洞。您还将收到报告中对单个漏洞的评估,包括其影响、风险评分,及(在合适情况下的)漏洞利用。
