随着网络攻击手段的不断变化,APT黑客组织规范化、供应链漏洞、开源组件风险增大,企业在对外公开的业务安全风险检查方面,大多数仍采取传统渗透测试手段来进行安全检查,但传统渗透测试存在着成本高、时间长、操作不便捷等问题。
基于此,山石网科发布托管渗透测试服务,可对互联网业务系统提供高效便捷的渗透服务,通过云端安全运营中心,整合专业服务团队、自动化渗透测试平台与标准化交付流程,为客户打造高质量、快响应的渗透测试体验,同时具备性价比高、支持按需灵活订阅、可快速交付等优势。
图注:山石网科服务标准化流程
相较传统渗透测试,山石网科托管渗透测试结合了人工主导的渗透测试以及自动化工具和技术,在提升渗透测试效率的同时可以避免出现误报,有助于缩小用户面临的网络安全技能差距,最大限度地提高渗透测试投资的回报。
图注:山石网科托管渗透测试与传统渗透测试对比
服务范围
山石网科托管渗透测试可覆盖全面的漏洞类型,与传统渗透测试并无差别,包括但不限于:
注入类
命令执行类
文件操作类
已知组件类
跨站类
身份认证/会话管理类
业务逻辑缺陷/配置管理类
信息泄露
服务优势
以攻促防:以“虚拟的攻”促“真实的防”,领先黑客一步掌握自身业务资产所存在的可被利用的漏洞,降低业务的网络安全风险。
智能自动化:结合AI与渗透攻防技术,打造的一款智能自动化攻击验证平台。
漏洞检测引擎:内嵌自主研发的自动化漏洞检测引擎、丰富的漏洞库和各种风险模型,以及针对性的检测场景,能够根据用户的检测需求提供强大的漏洞发现能力。
服务适用场景
重保/攻防演练前自查:攻防演练或重保前可短时间对大量业务系统进行漏洞发现及修复,可以防止因漏洞被攻击方利用,导致业务系统被攻破。
对外业务周期性渗透测试:对外业务应用资产定期进行持续的安全风险测试验证,应对业务频繁更新迭代产生的安全风险。
新业务上线评估:在业务应用上线前进行渗透测试,减少系统带病上线的风险。
满足监管要求:应对突击临时的监管要求,发现问题,修复问题,避免被监管通报。
未来,山石网科的云端安全运营中心将继续加强其服务能力,积极应对客户多样化的需求,提供一系列更加专业、规范、先进的安全运营服务,以帮助客户应对各种安全挑战。
