可信众测是安恒信息推出的一款重点为金融、政府、运营商等高端用户量身定制的安全众测服务。可信众测选取了安恒信息认证的安全测试人员,对风险等级要求较高的网站采用众测的模式进行测试,用户可以按照测试的效果进行付费,而测试人员仍按照约定的保密要求进行服务,在不增加用户的测试风险的情况下,大幅度提高安全测试的效果,同时降低安全测试的成本。
可信众测是安恒信息推出的按照效果付费的渗透测试服务,相对于传统的渗透测试服务,可信众测的测试结果更可控,测试的广度和深度也更有优势,可以最大程度的降低企业面临的安全风险;相对于其他的众测服务,可信众测选有着一些更安全,风险更可控可控的优势特性。
- 可信众测选取的是经过安恒信息严格认证的安全测试人员,包括了在国内最高水准的攻防大赛中多次获得冠军的团队成员、国内各大src平台的榜首成员、安恒核心漏洞挖掘团队成员、高级安全研究员、顶级渗透测试专家等各类职业安全专家,国内顶级水准的测试团队足以信赖。
- 严禁非可信人员加入测试团队。最大程度的保证测试人员的可信度。
- 测试过程中加入了很多风险控制的元素,如vpn系统、日志审计系统、堡垒机等;最全面的技术手段保证测试过程可以被全面审计。
- 测试完成后,安恒信息的专业安全服务团队会根据测试结果,给具出量身定做的专业安全优化改进龙8app登录的解决方案建议,弥补了传统众测后续服务能力不足的短板。
可信众测采取远程漏洞挖掘的方式进行服务,服务范围包含但不仅限于web应用系统安全测试、手机移动客户端安全测试、嵌入式设备(含智能设备)安全测试。
可信众测®的安全测试人员主要由两部分人员组成:
1)、公司内部在编成员。
这些安全测试人员隶属于安恒信息内部,他们来自于安全服务的正规军安全服务中心,安全研究的核心力量安全研究院,安全测试类产品的研发团队,专注于二进制漏洞挖掘的分子实验室,专注于物联网漏洞挖掘的海特实验室,专注于通用漏洞、中间件、底层漏洞挖掘的卫兵实验室,专注于攻防实战对抗的攻防实验室。安全测试人员在进入安恒信息时就精挑细选,并与安恒信息签订了长期的劳动合同与保密协议,大部分安全测试人员曾经有过安全服务的项目相关经验,测试水平普遍较高,对测试过程中存在的风险的有很好的认知,有着一定的风险控制能力与技巧。
2)、业界知名安全测试人员。
这些安全测试人员来自于公司外部,但是成为可信众测®的安全测试人员有很高的门槛。可信众测®安全测试人员成员大多来自于邀请制,平台也会定期邀请一些业界知名团队、第三方公司进行合作,进行众测漏洞挖掘。所有来自于公司外部的成员,可信众测®均进行过现场、视频等方式人员身份确认,确保报备信息与本人一致。并且,可信众测®还与给每个参与的安全测试人员进行过网络安全法的教育工作,与每个安全测试人员签订了保密协议与测试规范承诺书,确保每个安全测试人员对众测漏洞挖掘有明确的认知。
可信众测在测试过程中要求所有安全测试人员全部拨专用的vpn,并向用户提供固定的vpn出口地址,用户可对vpn出口地址ip进行审计。可信众测®的vpn系统具备“主动防护”功能,通过对vpn的所有流量进行审计,实现按照安全测试人员进行流量区分,审计是否进行撞库攻击、批量账号登录、扫描器攻击,是否存在未授权下载和上传 webshell 的行为,并进行入侵回溯分析,发现风险时立刻对测试账号进行封停。