摘要: 6月3日,针对企业普遍面临的安全威胁,阿里云推出“云盾渗透测试服务”,该服务以模拟攻击者的角度去找出企业网站存在的漏洞,并出具修复方案。通俗的说,渗透测试服务类似于给网站“体检”和打预防针。 通常,渗透测试服务由专业的安全公司为客户提供。而现在,阿里云已经具备...
6月3日,针对企业普遍面临的安全威胁,阿里云推出“云盾渗透测试服务”,该服务以模拟攻击者的角度去找出企业网站存在的漏洞,并出具修复方案。通俗的说,渗透测试服务类似于给网站“体检”和打预防针。
通常,渗透测试服务由专业的安全公司为客户提供。而现在,阿里云已经具备这一实力,并且在某些领域远胜传统安全公司。
目前服务主要包括但不限于
应用漏洞
尝试分析但不限于应用系统的SQL注入、跨站漏洞XSS/CSRF、越权未验证、文件目录遍历、信息泄露等攻击方式
服务器与网络弱点
在服务过程中将尝试网络嗅探、溢出、代码/命令执行、弱口令等攻击方式
安全意识隐患
在服务过程中将尝试检测员工安全意识和安全管理规范上的缺陷,包括但不限于钓鱼、社交工程、域名服务权限、员工密码泄露等攻击方式
成果交付
专业的服务报告、可靠的修复方案。
当然,每一个公司对于安全的着重点各不相同,云盾渗透测试也将因客户的需求而做个性化服务。
怎么看待阿里云提供的渗透测试服务?
提供渗透测试服务不是一个草率的决定,既是当前安全形势下被市场所需要的服务,也是因为阿里云背靠阿里巴巴集团安全部,具备了这一能力。
据CNCERT新近发布的《2014中国互联网网络安全报告》,CNVD(国家信息安全漏洞共享平台)数据表明,2014年收录并发布各类安全漏洞数量达9163个,较2013年增长16.7%。
在这一不断增长的威胁下,企业处于弱势地位。一方面因为普通安全产品是一项工具,难以全面覆盖业务。另一方面面对暗处的黑客,企业天然处于信息不对称的位置,难免力有不逮。
与此同时,具备多年的安全积累后,阿里巴巴集团已经成为国内极少数具备完整安全防护与研究能力的公司,阿里云在安全领域的实力便来源于此。
该团队集中了包括智能设备安全、人机识别、漏洞挖掘、移动设备安全等领域的国内顶尖安全专家。阿里巴巴在反黑领域的经验也成为优势,该团队多次反跟踪黑客入侵,协助公安破案,并获得公安厅的一等奖。
当然,作为云计算厂商的显著优势,云盾渗透测试服务团队还有阿里云大数据平台,可以对全球网络空间聚合系统进行关联计算,在第一时间获得安全威胁情报及分析数据。
真实的渗透测试服务是怎样的体验?
在开放服务之前,这个团队已经给阿里巴巴集团内的数十个事业部、30多家银行、100多家互联网企业服务,客户还包括了政府机构。
提交企业信息
渗透测试服务之前提交企业认证信息、域名或IP。
签署保密协议
审核网站拥有权后,签订保密协议。
正式渗透测试
由阿里巴巴集团安全部正式员工参与测试,并对报告结果保密。
企业面临的风险严重么?
从当前的测试结果来看,企业面临的风险挑战非常严峻。
阿里云云盾团队帮我们找到了30多个漏洞,其中有几个可以直接导致我们网站崩溃。随后我们进行了修复。——某华中游戏公司
第一感觉跟看体检报告一样:我怎么会有那么多毛病?第二反应是,幸好是在黑客攻击前发现的。——某华南电商企业
从渗透测试结果来看,95%的网站都存在较大漏洞。尽管这些网站都采取了貌似完善的防护措施……对互联网企业的渗透成功率也很高,特别是电商和金融机构。——云盾渗透测试团队负责人尹毅说。
