渗透测试服务浅析|安全服务
人们经常提到,能够建立最好的安全性的方式就是通过尝试入侵来进行测试。可见渗透测试对网站安全的重要性。目前国内做渗透测试的安全公司有很多,今天我准备挑四个个排名靠前的公司将它们的渗透测试服务来进行一个分析比较。
注:由于亚信安全和电信云堤没有渗透测试服务,所以排名前四的分别为阿里云、腾讯云、百度安全、知道创宇。
一、 阿里云
1. 介绍:
阿里云“先知”不是传统意义上的渗透测试服务。更确切的叫法应该是它名字里的“安全众测”。“先知”是一个帮助企业建立私有应急响应中心的平台(帮助企业收集漏洞信息)。“先知”提供平台,企业加入后自主发布奖励计划,激励平台上的专家来进行测试提交网站或业务系统的漏洞,以此来达到目的。与其他漏洞收集平台不同的是先知平台完全私有,不会公开任何漏洞标题及细节;不会进行任何漏洞负面炒作和公关。换一个角度其实可以理解为阿里云将自己的渗透测试业务外包给其他公司或者个人。
2. 团队:
通过“先知”平台实名认证或安全公司认证的白帽子和安全公司。 其中安全公司有:安识网络、四叶草、驻云等安全公司。
3. 优势:
相比传统渗透测试效率较高、测试人员多、价格可控。
二、 腾讯云
1.介绍:
腾讯渗透测试的主要服务内容为远程对公有云或私有云进行模拟黑客入侵方式的技术攻击测试,并提出整改建议并输出事件处理报告。对目标系统的安全做深入的探测,发现系统最脆弱的环节。其中分为公有云和私有云两种服务类型。两种服务类型再细分为常规渗透和业务逻辑渗透。
2. 团队:
腾讯安全服务团队主要由CISP、CISSP、 CCSK 、ISO27001主任审核员、高级网络认证工程师组成,具有一流技术实力和丰富攻防经验的专家团队。
3. 优势:
腾讯渗透测试具备信息系统生命周期安全服务的知识库和方法论,以保障测试维度全面、完善、专业。通俗一点来说就是腾讯拥有自己的一套渗透测试体系。这些都依托于腾讯多年的信息安全建设实践经验,从而建立了一套完善的风险规避方案。在测试过程中能最大程度地规避潜在风险,保障测试过程中业务的稳定。
三、 百度安全
1.介绍:
百度安全的渗透测试是在用户的授权下,完全模拟黑客的行为,对客户网站进行入侵尝试。帮助理解黑客是如何思考的,比黑客更早的发现网站问题,并在真实的线上环境验证每个漏洞的真实危害,帮助网站及早修复漏洞。百度安全可以对主机操作系统、数据库系统、WEB应用系统、网络设备、系统业务、口令等进行渗透测试和猜解。
2.团队:
百度十六年培养的安全专家团队。
3.优势:
百度的渗透测试服务会尝试验证每一个漏洞的威胁,并帮助用户真正理解漏洞的成因,做到自己可以控制自己可以防御。每一次渗透测试都由安全专家手动实施,测试完成后,还会提出专业修复建议,帮助真正解决安全问题。
四、 知道创宇
1.介绍:
知道创宇可以对网页应用、iOS应用、安卓应用等进行渗透测试。服务的内容包括:漏洞挖掘、修复建议、回归测试。挖掘漏洞后安全专家会针对漏洞产生的原因进行分析,提出修复建议。最后对修复方案和结果进行有效性评估,验证漏洞修复结果。 汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告。笔者之前尝试过知道创宇的免费版漏洞扫描,最后在报告里提交了好几个漏洞给我。不得不说报告很详细,感觉效率挺高的。
2.团队:
知道创宇安全服务团队,在其成立短短不到一年时间内,就已经服务超过100家企业,其中涉及多个领域,并且为多家知名金融机构提供专家安全运维托管服务。团队在2014和2015年连续两届荣获国内最高水平网络攻防大赛——“中国网络安全攻防大赛”(CTF)的冠军。
3.优势:
知道创宇拥有丰富的客户经验。团队技术能力过硬,在漏洞研究等安全领域的相关技术能力处于国内领先地位。其服务性价比高。
总结:
阿里云的渗透测试是以私有平台方式呈现,相对于传统普通的渗透测试效率高、安全专家多这些都是优点。但是其中依然存在的不确定因素也算劣势之一。
腾讯、百度、知道创宇都是传统的渗透测试服务,可以保障在确定的时间内给出答复。不同的服务方式适合不同的企业,在这里只是简单列出了这四家公司的服务介绍来进行对比,目的是让大家对目前国内TOP10的前四家公司的渗透测试服务有一定的了解。这篇浅薄的渗透测试服务分析仅作为抛砖引玉,供大家参考。如有疏漏或错误,请大家批评指正。