渗透测试并非最终目的,测试旨在识别结构性和技术性安全漏洞,从而提出建议并执行有效对策,消除漏洞。一些公司既希望保持业务的可持续性,又希望保证其业务的信息安全,我们强烈建议这些公司对其网络设施、系统、应用、产品及网络解决方案等方面进行高质量的渗透测试,以持续降低风险。
技术检验协会网络部已经在不同行业成功地进行了几百次渗透测试,德国联邦信息安全办公室(BSI)已经将技术检验协会网络部认证为渗透测试网络安全服务单位。
我们的策略
渗透测试可以根据客户的需求高度定制。渗透测试分为各种类型,例如,外部网络接入点可用于分析安全漏洞,包括各种各样的网络应用程序。而移动终端设备,数据储存介质和验证令牌,也可以包含在内,用于测试“设备丢失”的情况。
渗透测试期间,我们的安全专家将遵循特定的程序进行测试,这些程序都已经过权威机构的认证,如德国联邦信息安全办公室(BSI)。有鉴于此,专家使用的是一个专门研发的测试平台,叫做“分布式渗透平台”。这样就可以在复杂的网络环境下对集中数据存储进行渗透测试,还可以利用平行测试提升效率。
渗透测试的分类
项目示范概览表
第一阶段:准备项目启动会 |
(目标,范围,程序,应急措施,法律/机构问题) |
第二阶段:信息收集 |
(确认内容,服务和功能) |
第三阶段:信息评估/风险分析 |
(风险情况下测试行为的定义) |
第四阶段:启动渗透测试 |
(向已识别的潜在漏洞发动攻击) |
第五阶段:最终分析 |
(评估已识别的漏洞,并在最终会议中报告) |
对您的益处
- 识别出特定漏洞(技术性,结构性,程序性)
- 对您的网络安全策略有效性进行客观的评估和评价
- 提出有针对性的安全措施建议,从而消除安全漏洞(技术性,结构性,程序性)
- 提升关键数据、系统和应用的安全性
- 提升技术、结构以及程序措施的有效性
- 为内部或外部验收程序,检查或认证做好准备
- 提升公司各级员工的安全意识
- 通过相应的质量认证,确定客户的安全等级,赢得监管机构和客户的信任