服務(wù)介紹
下一代滲透測試服務(wù)(Next Generation Penetration Testing,簡稱NGPT)是正達(dá)科技基于全球攻防態(tài)勢劇烈變化,多年政企客戶服務(wù)經(jīng)驗推出的全新滲透測試服務(wù)。它以下一代滲透測試服務(wù)協(xié)作平臺為依托,將正達(dá)科技高級滲透測試工程師與補天精英可信白帽有機組織和整合,利用雙輪驅(qū)動的交付模式,優(yōu)勢互補,全面深入地發(fā)現(xiàn)企業(yè)存在的安全隱患,及時幫助企業(yè)修復(fù)漏洞,并做好滲透測試后的進(jìn)一步服務(wù)。
服務(wù)功能
NGPT針對網(wǎng)站或業(yè)務(wù)應(yīng)用系統(tǒng),提供必選基礎(chǔ)服務(wù)和可選增值服務(wù)。
1) 必選基礎(chǔ)服務(wù):
? 初次滲透測試:模擬黑客實際攻擊手法,對目標(biāo)信息系統(tǒng)遠(yuǎn)程進(jìn)行非破壞性安全測試,發(fā)現(xiàn)并驗證系統(tǒng)存在的安全問題;
? 第一時間漏洞信息獲?。河脩敉ㄟ^登錄服務(wù)協(xié)作平臺,第一時間獲取實施過程中挖掘到的漏洞和整改建議,而無需等待整個滲透測試工作完成;
? 復(fù)測:安全問題整改完成后,及時進(jìn)行遠(yuǎn)程漏洞驗證回檢,確保漏洞已修復(fù),以及未引入新的安全漏洞;
? 報告交付:測試工作完成后,撰寫完整的《滲透測試報告》并交付給客戶;
? 現(xiàn)場報告解讀:提供現(xiàn)場報告解讀服務(wù),與正達(dá)科技滲透測試工程師面對面的交流,幫助用戶準(zhǔn)確、深入理解測試活動并從管理、流程和技術(shù)等方面為企業(yè)提供新思路和實踐指導(dǎo)。
2)可選增值服務(wù):
? 補天安全情報服務(wù):包括漏洞情報預(yù)警和Github源代碼泄露監(jiān)測服務(wù),幫助客戶安全運營常態(tài)化;
? 攻防技術(shù)培訓(xùn):采取知識講解與實際操作演練相結(jié)合的方式,提升客戶安全團隊的攻防技術(shù)能力;
? CISP-PTE/PTS培訓(xùn)及考試:滲透測試能力注冊考試,培養(yǎng)實戰(zhàn)型人才。
服務(wù)優(yōu)勢
大兵團作戰(zhàn)對抗?jié)撛跀橙耍┒磻屹p機制激發(fā)白帽潛能
正達(dá)科技滲透測試工程師帶領(lǐng)經(jīng)過補天平臺嚴(yán)格審查的可信白帽,以競爭式漏洞懸賞、先到先得的機制激發(fā)白帽團隊的無限潛能,不放過任何真實存在的安全問題。
多種監(jiān)控審計機制,保障滲透測試全過程安全可靠
客戶、正達(dá)科技滲透測試工程師、補天可信白帽以及漏洞審核專家均通過“下一代滲透測試服務(wù)協(xié)作平臺”開展工作。協(xié)作平臺實現(xiàn)測試過程的事中監(jiān)控、事后審計。針對補天可信白帽,在前述技術(shù)機制約束下,還引入了管理控制手段作為參與項目的前置條件,保證白帽子在思想、責(zé)任和能力上都過硬,保障測試活動安全可控。
端到端管理流程,保障項目高質(zhì)量和服務(wù)價值大化
提供端到端的白帽管理、項目管理、漏洞管理:
? 根據(jù)補天白帽能力模型優(yōu)選精英白帽;
? 專職項目經(jīng)理深入理解客戶訴求,統(tǒng)籌項目;
? 原廠滲透測試工程師整體牽引業(yè)務(wù)測試;
? 漏洞審核專家關(guān)注漏洞實際危害,快速響應(yīng)和驗證漏洞;
? 項目組7*24小時為客戶提供遠(yuǎn)程技術(shù)支持。
補天安全情報賦能滲透測試工程師,更加專注流行安全風(fēng)險和未知漏洞
補天漏洞情報可幫助工程師定向排查流行漏洞對組織的影響;補天Github泄露監(jiān)測平臺可監(jiān)控與客戶有關(guān)聯(lián)的源代碼片段,幫助工程師從不同視角發(fā)現(xiàn)潛伏的安全漏洞。
客戶價值
更大限度發(fā)現(xiàn)企業(yè)信息系統(tǒng)真實存在的安全風(fēng)險
由正達(dá)科技高級滲透測試工程師帶領(lǐng)補天精英可信白帽組成作戰(zhàn)大兵團,采用人工漏洞挖掘方式,幫助企業(yè)發(fā)現(xiàn)真實存在、可造成實際危害的安全漏洞。正達(dá)科技漏洞審核團隊對漏洞進(jìn)行有效性、危害和質(zhì)量的評定,幫助企業(yè)聚焦有實際風(fēng)險的安全問題。
基于業(yè)務(wù)視角深入發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞和設(shè)計缺陷漏洞
NGPT團隊站在使用者和運維者的角度,深入理解業(yè)務(wù)邏輯并通過發(fā)散思維和豐富經(jīng)驗,在業(yè)務(wù)流程中全面細(xì)致地發(fā)現(xiàn)可利用的弱點,并進(jìn)一步嘗試驗證。大兵團作戰(zhàn)模式、競爭式漏洞懸賞機制,讓下一代滲透測試比傳統(tǒng)滲透測試多發(fā)現(xiàn)至少25%的業(yè)務(wù)邏輯型漏洞。
漏洞暴露窗口期縮短至少90%
利用“人海戰(zhàn)術(shù)”和“競爭懸賞機制”,驅(qū)動下一代滲透測試團隊以更快的速度、更優(yōu)的質(zhì)量的方式去發(fā)現(xiàn)和報告漏洞。依托協(xié)作平臺,在漏洞發(fā)現(xiàn)后的第一時間評定并推送給企業(yè),協(xié)助企業(yè)盡快完成修復(fù)。從歷史統(tǒng)計數(shù)據(jù)來看,通過這種模式,漏洞暴露窗口期縮短至少90%,有效降低漏洞被攻擊者發(fā)現(xiàn)和利用的風(fēng)險。
雙輪驅(qū)動的交付模式助力企業(yè)從漏洞管理向安全管理跨越
“基于協(xié)作平臺的漏洞管理”和“基于客戶現(xiàn)場的安全指導(dǎo)”雙輪驅(qū)動模式保證了交付效果。前者在客戶、正達(dá)科技滲透測試工程師、精英可信白帽之間搭建起漏洞流動的管道。后者依托正達(dá)科技對滲透測試深層次的理解和分析,直面漏洞發(fā)生的根源,從管理、流程和技術(shù)等方面為企業(yè)提供新思路和實踐指導(dǎo)。
手機網(wǎng)站 小程序