Testin安全:号百控股安全渗透测试服务

专题库
来源:中国电子银行网 2018-09-21 09:16:54 2018中国金融科技创新榜Testin安全 金融科技企业案例

核心提示“2018中国金融科技创新榜”科技企业参赛案例

  案例背景:

  企业对网络和信息技术的依赖越来越强,《CTO企业信息安全调查报告》数据显示,超过90%的企业完全或高度依靠互联网开展业务,互联网成为企业发展的重要根基。

  截至2017年12月,我国手机网民规模高达7.53亿,随着网民数量井喷式的激增,移动应用携带直接或间接经济价值的属性越发明显,吸引了大量的黑客团体进入,形成庞大的黑色产业链。

  而在Android系统开源的大环境下,任何被忽视的应用安全漏洞,都有可能给企业带来经济和名誉上的双重损失。

  本次号百控股所使用的渗透测试服务由Testin安全事业部渗透测试小组提供,在操作风险可控的情况下,尽可能完整地模拟黑客的思维和操作方法。同时在深度挖掘漏洞后输出安全隐患、隐患定位以及解决建议等信息的报告。

Testin安全:号百控股安全渗透测试服务

  需要解决的问题及解决方案:

  问题:

  号百控股某Android客户端在客户运行环境安全、应用安全、用户操作安全、数据安全、通信安全、业务安全、服务器端安全等7个检测维度存在可能的安全隐患,需要通过渗透测试来挖掘其中的风险因素,并根据报告结果对问题加以修正解决,以保证企业及客户的安全。

  解决方案:

  1.针对该客户端的安全进行测评、风险评估,进行常见安全漏洞扫描;

  2.使用Testin专用的扫描引擎,在企业许可的前提下,提供非破坏性的安全检测技术服务,给出专属的检测报告和问题解决建议;

  3.针对该客户端的安全进行测评,进行常见的安全漏洞扫描,评估产品的安全现状,收集过程中的出错信息、截图、日志等,提供专业的测试报告,帮助定位和解决问题,以提高产品的安全性;

  4.由专业安全工程师,使用专用的检测工具,在企业许可的前提下,提供非破坏性的安全检测技术服务,给出专属的检测报告和问题解决建议。按国内外标准规范进行针对性检测。

Testin安全:号百控股安全渗透测试服务

Testin安全:号百控股安全渗透测试服务

Testin安全:号百控股安全渗透测试服务

  案例应用实践及效果:

  1.信息收集

  信息收集主要有两个阶段的组成。第一阶段,Testin安全渗透测试小组与客户组织进行交互讨论,确定本次测试的范围、目标、限制条件等;第二阶段,在确认目标范围之后,开始情报搜集。通过各种信息来源与搜集技术方法,尝试获取关于目标系统的IP地址、DNS记录、软件版本信息、Google中公开信息等。

  2.威胁建模

  收集到足够的情报信息后,Testin安全渗透测试小组成员针对获取信息梳理业务功能树并进行威胁建模,确定测试的攻击通道。

  3.渗透测试

  Testin安全渗透测试小组分析汇总前几个阶段的情报信息,特别是安全漏洞扫描结果、服务查点信息后,找出可以实施渗透攻击的攻击点,针对攻击点进行测试并找到目标系统的安全漏洞。

  4.缺陷利用

  Testin安全渗透测试小组,利用他们所找出的目标系统安全漏洞,来真正入侵系统当中,获得访问控制权。在时间许可的情况下,必要时从第2阶段重新进行。

  5.输出报告

  对上述步骤中发现的问题进行威胁分类和影响分析,根据测试和分析的结果编写直观的渗透测试服务报告,包括站在防御者的角度上,分析存在的问题,以及提供直观的修补与升级技术方案。

  6.评估建议

  渗透测试以暴露问题为目标,属于被动的安全手段,而这些方式也大大的增加开发和维护的成本。因此建议号百控股针对个性化产品开发前做好安全的相关工作,开发的产品从以下几个方面进行相关的考察和关注:

  制定以功能和安全兼顾的产品开发需求

  将安全作为产品开发项目中的重要参考指标

  产品开发过程中的人员安全意识和技能培训

  完善的安全开发手册及通用的安全的代码库

  在开发每阶段完成后的定期代码审计和扫描

  产品整体上线前的审计工作和远程评估工作

  方案价值:

  通过渗透测试,结合金融行业特性,有针对性的制定测试用例和测试实施方法,分析、评估和报告被测应用的整体安全保护状况,力求达到一个稳定可靠的质量状态。通过渗透测试服务,可为金融企业带来如下收益:

  1.明确安全隐患

  渗透测试是从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入,最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点。

  2.提高安全意识

  任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,通过测试报告,能够有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。

  3.提高安全技能

  在与安全测试人员交流的过程中,可提升安全方面的技能。另外,通过专业的渗透测试报告,也能理解到当前流行的安全问题。

责任编辑:方杰

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        财源源二维码

        热文排行

        • 今日热点
        • 每周排行
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 网易科技 | 中华财会网 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 外汇 | 品途网