摘要:使用安全廠商提供的滲透測試服務�����。國內(nèi)企業(yè)安全意識相對薄弱���,因此滲透測試服務魚龍混雜。尤其值得稱道的是,按照效果付費�����。
隨著云服務和電商的發(fā)展����,越來越多的用戶將個人資料存儲在“云”上��,越來越多的交易通過網(wǎng)絡完成����。然而,國內(nèi)的網(wǎng)絡服務安全情況卻不容樂觀�����。
從支付寶員工盜賣用戶信息�����,到某省聯(lián)通業(yè)務管理系統(tǒng)可繞過登錄權限查詢?nèi)C主信息,從騰訊群關系數(shù)據(jù)泄漏到戴爾商城后臺弱口令泄露大量用戶信息�����,僅僅在最近的3個月,就有這么多觸目驚心的安全事故�����!
有感于國內(nèi)企業(yè)安全意識的薄弱�����,CageTest在兩個月前上線�����,為企業(yè)提供透測試服務�,保護企業(yè)信息安全。
滲透測試服務是為企業(yè)提供的網(wǎng)絡安全漏洞監(jiān)測服務���。在征得企業(yè)授權的前提下��,嘗試模擬黑客入侵企業(yè)的服務器��,通過這種方式來評估網(wǎng)絡系統(tǒng)的安全性�。滲透測試的目標是找出被測系統(tǒng)中所有的安全漏洞�。這些漏洞通常是由于設計缺陷、配置錯誤�����、軟件bug等原因導致的。
在國外�,滲透測試是常規(guī)安全措施。服務上線或新功能上線前���,通常都要進行滲透測試�。企業(yè)一般通過以下途徑進行滲透測試:
自行進行滲透測試��。在各種開源軟件的基礎上��,自行開發(fā)滲透測試方案�����。例如����,《開源安全測試方法論》(OSSTMM)總結了滲透測試的基本方法�,可以免費下載。Kali Linux是基于Debian的開源操作系統(tǒng)�,預裝了大量滲透測試工具,包括nmap(端口掃描器)���、Wireshark(抓包分析)�、John the Ripper(密碼破解)、Aircrack-ng(滲透測試無線網(wǎng)絡的軟件套件)等�����。metasploit是一款開源的滲透測試套件����,可以在Linux和Windows上運行。
使用安全廠商提供的專有滲透測試軟件���,檢測自己的系統(tǒng)��。例如�����,rapid7的漏洞檢測工具nexpose和Secpoint的漏洞掃描工具滲透者等��。
使用安全廠商提供的滲透測試服務�。較為知名的提供滲透測試服務的安全廠商有Rapid 7���、Offensive Security��、Clone Systems��、Core Security�、Saint、immunity等���。
使用現(xiàn)成的滲透測試軟件��,很難進行完整全面的測試��。而自行開發(fā)滲透測試方案��,不僅費時費力��,而且很多企業(yè)并不具備這方面的能力,自行開發(fā)的質量難以保證��。因此���,對于大多數(shù)關注信息安全的企業(yè)而言���,選擇第三方的滲透測試服務,是比較明智的選擇�����。
國內(nèi)企業(yè)安全意識相對薄弱,因此滲透測試服務魚龍混雜����。Cagetest的團隊成員分布在世界5個國家,合作客戶包括世界 500 強公司和安全機構�����,為企業(yè)提供如下滲透測試服務:
通過上百種人工或腳本偵測����,全面掃描你所有的服務器和服務器集群。
模擬黑客入侵行為����,嘗試深度滲透網(wǎng)絡以獲取最高管理權限及機密數(shù)據(jù)。
傾盡所能地嘗試滲透入侵��,包括模擬社會工程攻擊��,真正解讀你系統(tǒng)的防御能力����。
提供包含滲透結果及改進建議的詳細報告���,包括上門培訓系統(tǒng)管理員服務。
根據(jù)業(yè)內(nèi)漏洞發(fā)布�,對你的系統(tǒng)進行不定期的安全抽查,確保你的系統(tǒng)維持最高安全度�����。
尤其值得稱道的是�,Cagetest按照效果付費。一般而言�,滲透測試服務按照小時或IP收費,有些滲透測試服務提供商還會要求企業(yè)提供系統(tǒng)的內(nèi)部信息���,以節(jié)省探索猜測的時間�����,降低測試開支。而Cagetest按效果付費�����,只有在成功滲透企業(yè)系統(tǒng)或發(fā)現(xiàn)漏洞后才收費���,并且提供修補支持����。如果企業(yè)的系統(tǒng)安全十分完善,Cagetest無法找到漏洞���,那么在確認網(wǎng)絡安全的同時��,企業(yè)無需支付任何費用��。這一收費模式是Cagetest的一大創(chuàng)新�����,也體現(xiàn)了Cagetest對自身技術實力的高度自信���。
Cagetest的團隊癡迷于安全技術,安全意識很高�����。例如���,他們使用自行開發(fā)的專門應用進行聯(lián)絡�����,確保安全性���。
再如����,Cagetest的招聘頁面也體現(xiàn)了其癡迷安全技術的風格�����。我們不久前報道的GitCafe����, 如果你看過它的招聘頁面,會發(fā)現(xiàn)只有如下信息:
5aaC5p6c5L2g5a+55oiR5Lus5Zyo5YGa55qE5LqL5oOF5pyJ5YW06Laj77yM5bm25LiU5a+5cmFpbHMv5YmN56uv5byA5Y+R5pyJ6Ieq5L+h77yM5qyi6L+O5Y+R6YCB6YKu5Lu25YiwZ2hvc3RtNTVAZ2l0Y2FmZS5jb23pooTnuqbkuqTmtYHml7bpl7TvvIznoa7lrprkuYvlkI7lj6/ku6Xnm7TmjqXmnaXliLDmiJHku6znmoTlt6XkvZzlrqTlj4Lop4LkuqTmtYHvvIzosKLosKIK
很geek的一個頁面����。雖然很簡單,不過也可以剔除極不靠譜的應聘者��。
而Cagetest的招聘頁面進去之后���,只有“此地無銀三百兩”七個字���。這顯然是提示你這里埋藏了些東西嘛?�?聪略创a���,果然�,有這么一行注釋:
應聘者需要先破解這段密文才能獲知應聘信息�。和GitCafe的相比,這段密文難度大多了�。感興趣的讀者可以嘗試一下。
如果沒有頭緒可以參考下這里
撰文 SegmentFault
文章版權歸作者所有���,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�。
轉載請注明本文地址:http://m.hztianpu.com/yun/11074.html
