试问哪个企业家不想要一个《金蝉脱壳》里史泰龙那样的外挂?

2015-11-23 08:10


介绍今日内容前,先安利一部老片《金蝉脱壳》。

男一号史泰龙隶属于一家独立的安保公司。该公司受联邦监狱局之托测试国家各地监狱的安全性。而史泰龙的工作就是通过查找监狱漏洞,以确保不会有犯人从牢笼逃脱。

言归正传,阿里云渗透测试服务的职能和史泰龙类似。

现实世界中企业面临的安全威胁种类繁多。但真正的危险,是企业以为自己本身足够安全,殊不知威胁早已渗入内部,伺机而动。

渗透测试所做的,就是在危险真正影响到企业安全前,发现并解决它。

渗透测试是什么鬼

渗透测试会模拟攻击者的思维方式与行动,寻找企业互联网系统存在的潜在风险,并给出修复方案。

通俗讲,渗透测试好比一个套餐,先给企业做“体检”,再对症下药。

听听客户怎么说

国华人寿是最早接入阿里云安全服务渗透测试的公司。

“传统保险公司安全比较容易,控制好内网、端口、设置好防火墙,问题就不大。国华人寿严格意义上来说是一家保险垂直领域的电商,我们做的是互联网保险平台,网站直接面向客户,所以,每季度都会轮流邀请安全公司做渗透测试”,国华人寿信息技术部总经理马景堂认为,如此重视安全,不仅仅是为了公司利益,更是为了客户利益。

得知阿里巴巴集团通过阿里云输出这项安全能力,国华人寿立刻联系。

一轮测试下来,马景堂六字总结阿里云渗透测试:

有深度、有广度

此话怎讲?

举个栗子:

“所谓深度即是,传统安全公司在渗透测试后会告诉我们系统哪儿有漏洞,但阿里云安全团队不会止步于此。阿里云还会告诉我们,这个漏洞对公司有哪些影响。所谓广度呢,就是阿里云安全团队不会限定渗透范围,公司里里外外所有有可能出危险的区域,都在测试范围之内。这样,就帮我们把过去看不见的潜在的风险一次性暴露在眼前。”

阿里云渗透测试核心竞争力

1、不限定渗透范围。基本能把互联网上所有域、所有主机整体安全状况了解清楚。

2、更接近黑客真实入侵。使用社会工程学以及0day等无法依赖通用扫描器进行的攻击手段,测试手段上升到APT形式。

3、提供入侵报告人工review会议和咨询服务,帮助客户看懂问题。

4、在阿里云平台安全防御的过程中积累了丰富的实战经验。

今年正式对外开放渗透测试服务前,阿里云安全团队已为政府机构、阿里巴巴集团内数十个事业部、30多家银行、100多家互联网企业提供过服务,有效避免了很多可能造成严重危险的错误操作和漏洞。