漏洞评估
漏洞评估是针对组织的对抗性攻击模拟,以模拟特定目标黑客组织的情况。
流程
发现
阶段 1
评定
阶段 3
评估
阶段 2
报告
阶段 4
成果: 提高透明度,提高对业务潜在漏洞和风险的认识。
渗透测试
由CREST认证专家进行的高级渗透测试
渗透测试是对计算机系统的授权模拟网络攻击。它是一种通过尝试破坏该系统的部分或全部安全防御来确保 IT 系统安全性的方法。渗透测试人员使用的工具和技术与攻击者可能使用的工具和技术相同。被测试的目标可能是任何 IT 资产。这取决于用户的安全需求,例如外部系统,内部网络,办公室网络,甚至物理环境。
流程
发现
阶段 1
评定
阶段 3
评估
阶段 2
报告
阶段 4
成果: 通过了解可以利用哪些漏洞,提高潜在威胁的透明度并减少工作量。
红队测试
红队是一群白帽黑客(或渗透测试人员)执行一系列活动以评估公司对现实世界网络威胁的安全准备情况的活动。红队旨在“攻击”组织的数字和物理基础设施,以评估组织的安全防御和态势,同时旨在获取任何敏感和有利的信息。红队通常模拟多个恶意行为者来渗透组织的数字和物理基础设施安全。
- 社会工程学
- 无线黑客攻击
- 外部访问
模拟过程
阶段 1
信息侦察
阶段 2
武器化
阶段 3
递交
阶段 4
漏洞利用
阶段 5
权限提升
阶段 6
横向移动
阶段 7
命令&控制
阶段 8
渗透&完成
资产覆盖
数字资产
这包括应用程序、路由器、防火墙、无线等
物理资产
这包括建筑物及周边,硬件漏洞
人员资产
它包括所有工作人员