渗透测试
atsec所提供的服务
atsec提供各种网络脆弱性评估和渗透测试服务。凭借atsec在操作系统和网络应用评估领域的专业技能,能够提供针对客户的具体环境和要求而定制化且独一无二的渗透测试服务。我们与不同类型的机构保持密切合作,以帮助他们实时并且透彻地了解组织的安全状态。
我们理解您的网站服务器、数据库、网络以及大型主机是关键资源,需要非常谨慎地对待。项目流程要求我们的渗透测试人员与您的团队始终保持紧密合作,在渗透测试过程中降低任何对您的系统造成不利影响的风险。我们在工作时需要确保在正式执行测试工作前,明确任何测试的范围,确认扩展计划。
atsec在渗透测试方面具有丰富的国际经验,并维护自有品牌@PT LAB渗透测试实验室。我们的顾问熟悉复杂的渗透测试工具使用,并开发了自己的工具以维护完整的渗透测试方法论为您进行深入的测试。我们使用黑盒测试(即仅提供给测试人员目标系统的IP地址或域名,没有其它的信息可用,比如账号或密码、操作系统或网络架构信息)、白盒测试(测试人员熟悉被测系统的架构, 包括网络拓扑、IP地址、甚至源码信息)或灰盒测试(黑盒与白盒两者的结合)方法。在操作系统(从z/OS到Linux等)、数据库、应用程序和网络设备方面我们均有深入的理解与积累。
我们能提供的渗透测试服务包括以下方面:
- 网络与应用渗透测试
- 移动APP渗透测试
- IoT渗透测试
- 大型主机渗透测试
- 社会工程学测试
网络与应用渗透测试
atsec通过自动与手动结合的方式提供网络与应用渗透测试服务。
网络渗透测试的目的是为了识别与挖掘网络、系统与设备的漏洞。模拟攻击者获得端系统的访问,包括发现用户认证凭证、管理特权提升、深度包检测绕过、尝试环境破坏等等。
应用渗透测试目的是为了识别与挖掘web应用漏洞,主要考虑OWASP方法论,包括参数篡改、cookie污染、会话劫持、用户特权提升、凭证操作、后门与调试选项发现、web与应用服务器错误配置、输入验证绕过、SQL注入、跨站脚本等等。
移动APP渗透测试
移动APP测试的目的是为了识别移动应用内的漏洞,这些漏洞将可能导致敏感信息泄漏。测试遵循移动APP安全验证标准(MASVS)和相关的检查列表。一个典型的安全测试流程如下:
- 准备 -确定安全测试的范围,包括确定适用的安全控制、组织的测试目标和敏感数据。
- 信息收集 - 分析APP的环境与架构,以获得一般的上下文理解。
- 映射应用程序 - 映射提供了一个对APP全面的理解,包括APP的入口点、APP所拥有的数据、主要的漏洞等等。
- 利用 - 在这个阶段,安全测试人员试图利用前一阶段发现的漏洞来渗透APP。
- 报告 - 在这个阶段,对客户至关重要,安全测试人员报告可以被利用的漏洞,并记录下这种破坏。
IoT渗透测试
我们提供IoT渗透测试服务,包括固件的分析与挖掘、嵌入式web应用的挖掘、IoT移动应用的挖掘、IoT硬件攻击、无线攻击、等等。
- 固件的分析与挖掘 - 我们将获得和分析固件的内容,并模拟固件进行动态分析,尝试发现后门帐号、注入缺陷、缓冲区溢出等漏洞。我们还将评估设备的固件升级过程和引导过程,以确保升级功能是安全的。
- 嵌入式web应该的挖掘 - 我们将尝试发现和利用一些常见的IoT漏洞,如命令注入、跨站脚本、目录遍历、认证绕过、会话劫持、XML外部实体、跨站请求伪造和其它业务逻辑缺陷。
- IoT移动应用挖掘 - 我们首先获得IoT移动APP,然后分别进行静态和动态分析。静态分析包括程序代码的逆向工程、未授权的代码修改、基于加密的存储强度、密钥管理过程不佳等。动态分析包括不安全的应用存储、无限制的备份文件、不充分的WebView加固、SSL pinning实现、会话超时保护等。
- IoT硬件攻击 - 我们将检查设备的物理安全性和内部架构。该服务可能包括组件指示、固件提取、测试点标识、以及重新配置设备硬件以绕过身份认证、拦截流量和/或注入命令等。
- 无线攻击 – 我们将测试与设备之间的通讯。这包括测试加密传输的加密安全性、捕获和修改数据传输的能力。
大型主机渗透测试
atsec在大型主机方面有非常丰富的专业技术、技能与知识。我们已经在严格的CC (Common Criteria)EAL4和EAL5级评估过z/OS和其它应用,这些评估包括使用从架构级别到源码分析的设计信息进行彻底的安全功能分析,包括独立测试(渗透测试)以及开发人员测试评估和彻底的漏洞分析。通过如下链接http://www.atsec.com查看完整列表。
我们的大型主机渗透测试使用四部流程通过授权访问或靠破坏访问控制机制挖掘你的大型主机:
- 组织检查 - 获得操作环境和安全架构的概述,并建立项目工作协议和目标。
- 系统审计 - 更深入地理解系统配置,以便识别配置中的潜在漏洞。审计确定了潜在渗透区域。
- 渗透测试 - 基于业界标准方法和以上步骤获取的知识执行手工和自动的渗透测试。
- 安全影响和建议 - 提供安全影响陈述和建议。这些建议可以作为风险评估计划的输入,以执行建议的纠正措施。
社会工程学测试
我们为许多组织提供社会工程学测试服务,以便更深入地了解他们最脆弱的目标之一:员工。社会工程学是一种攻击方法,该方法可诱使一个人在不知情的情况下泄露机密数据,或者执行一项操作,使能够破坏他们的系统。我们可以提供的社会工程学测试包括但不限于以下方面:
- 模仿 - 攻击者模仿组织内的一个人,他有权控制拥有必要信息或访问特权的人,并要求下属收集信息或执行所需的任务。
- 肩窥 - 攻击者试图越过受害者的肩膀获取个人识别码(PINs)、口令或其它机密数据。
- 电子邮件/网站钓鱼 - 钓鱼电子邮件信息可能会引导您链接到受欺骗的网站。测试人员试图通过欺骗的方式让您提供您的用户名和密码,以便他们能够访问在线帐户。一旦他们获得访问权限,您或公司的机密信息可能会被泄漏。
- 语音钓鱼(Vishing) - 语音钓鱼是IP电话版的网络钓鱼,使用语音信息窃取身份和财务资源。
atsec的渗透测试专家在金融、电信、大型设备厂商领域具有丰富的经验,他们将国内、外先进丰富的渗透测试经验融入到自身的渗透工作之中,为全球的客户提供一流的渗透测试服务。
atsec具有完备的渗透测试方法论,是全球为数不多的拥有针对大型主机渗透测试能力和经验的公司,诸多针对IBM的大型主机的渗透测试都是由atsec完成的。
atsec中国团队向支付卡产业安全标准委员会(PCI SSC)提出了渗透测试工作组的提案并获得批准,且直接参与了PCI标准渗透测试指导的开发编写和审核工作,为产业的发展做出贡献。
此外,atsec的相关服务包括但不限于CC、FIPS、PCI DSS、PA DSS、P2PE、3DS、PIN security审核、脆弱性扫描、风险评估等。
我们为您所提供服务的重要性
常规的渗透测试提供一种方法来获知机构的安全现状,标识针对入侵检测与响应流程方面的不足。atsec渗透测试服务从攻击者的角度评估单独系统、大型复杂的网络或特定应用的安全。即使设计周详的系统也可能存在技术实现的诸多漏洞。通常这些漏洞仅能通过渗透测试被检测到,atsec顾问利用自己构建的知识库和丰富的经验能够识别错误的配置与编码上的缺陷。
渗透测试也可能是不同的标准和法规所强制或者推荐执行的,从而作为尽职调研或者合规的有效证据,比如支付卡产业数据安全标准PCI DSS要求11.3、ISO/IEC 27001、FISMA认证和认可、NIST SP 800-53A、O-TTPS等。
我们的顾问熟悉行业中被广泛接受的测试方法与渗透测试的最佳实践,比如:
- OWASP(Open Web Application Security Project)Testing Guide -- 关注在web应用安全测试的测试指导
- OSSTMM(Open Source Security Testing Methodology Manual) -- 开放源代码安全测试方法手册
- Special Publication 800-115 Technical Guide to Information Security Testing and Assessment -- 美国NIST发布的针对信息安全测试和评估的技术指导
- ISSAF(Information Systems Security Assessment Framework)-- 关注在信息系统安全评估的框架
atsec是一家成熟且专业的公司,我们非常清楚渗透测试可能为您带来的潜在风险,我们将与您紧密配合,遵从协商的渗透测试协议执行测试从而降低潜在风险。我们是独立的第三方信息安全服务提供商。
更多信息了解更多服务信息,请联系我们:info_cn@atsec.com。