安全服务
安全评估服务
企业线上业务的基础架构、网络环境、应用形态及接入终端已经变得越来越复杂,随着资产数据的价值提升,由恶意攻击导致的信息泄露、业务宕机、系统权限丢失等后果正在让企业付出日趋高昂的代价。保障业务安全,需要先于攻击者发现并解决问题。
梆梆提供的安全评估服务实现了对移动应用、WEB应用及系统主机进行从客户端到服务端、从黑盒到白盒、从个体到整体的全面安全评估,同时可依据国家合规要求及各行业合规要求对目标开展合规检查及安全审计。
移动安全管理系统平台

服务介绍:

  • 移动安全业务场景编排能力:基于企业、行业标准的实践案例,精准匹配技能场景,提供专业技能剧本支撑,辅助测试人员高效、标准化完成包括Android应用、iOS应用、WEB、接口、资产采集等场景下的安全测试及信息采集工作。
  • 2万条的移动安全知识库:涵盖多种应用形态及移动安全领域的专家经验、红队技术研究、安全分析报告等方面内容。
  • 200款自动化安全测试工具:具有专业的移动应用自动化漏洞检测、HOOK攻击、脱壳等能力,提高安全测试效率。
  • 900条安全漏洞风险信息:收集国际、国内认可的漏洞信息,进行攻击原理分析、攻击路径及可攻击成果展示,形成标准漏洞检索目录。
  • 所有核心功能在出厂时提供了基础的数据,企业用户可以在使用过程中自主添加相关内容,形成企业内部的经验积累。

平台的辅助工具主要为3个库:

  1. 移动安全知识库——攻防研究经验库,涵盖不同应用的渗透测试资料、安全操作规范等,供企业内部培训和学习,在实际测试过程中可一键查阅关联知识,做到理论与实践深度结合;
  2. 移动安全风险库——漏洞信息库,结合CVE、CAPPVD等漏洞库、行业漏洞披露信息、梆梆安全实验室攻防研究成果,提供海量的漏洞信息数据,包括漏洞等级、漏洞类型、业务场景、技术场景、危害、利用方式、修复方案等信息,及时掌握漏洞资讯;
  3. 移动安全工具库——系统内设置了二百余款漏洞扫描工具,既可自动对应用安全风险进行检测和分析,发现了漏洞之后,会根据实际情况制定相应的修复方案。又可以提供沙箱环境,协助用户进行HOOK、流量劫持、脱壳等专业攻防操作。

服务价值:基于梆梆安全 12 年全行业移动应用渗透测试及安全防护经验形成的流程、工具和经验,通过移动安全场景编排,配合移动安全专业测试工具及最佳实践
经验,提供实战操练途径及技能量化手段,快速提升行业人员移动安全测试和攻防技能,助力企业沉淀和固化移动安全能力。同时,梆梆移动安全专家依托平台可持续提供行业内移动安全领域最新情报、漏洞、知识经验和专业工具,确保企业始终保持在移动安全技术前沿。

渗透测试服务

服务介绍:

利用漏洞产生原理和渗透测试方法,通过黑盒、白盒方式对各类信息系统、移动App、H5应用(公众号、小程序等)、Web应用、PC应用、智能POS机应用、物联网设备等进行深度弱点探测和脆弱性测试,帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据和解决方案,帮助用户建立安全可靠的应用服务。

服务价值:
帮助客户发现目前市面自动化安全检测系统无法检测到的深层次的业务逻辑漏洞;
技术性验证APP、WEB应用、公众号、小程序等是否存在安全隐患和业务逻辑漏洞;
基于客户具体的业务场景进行深度测试,如人脸识别、交易支付;
基于客户行业安全监管要求(例如237号文)进行安全检查。

代码审计服务

服务介绍:

通过人工查看、模拟执行或半自动化工具扫描的方式,全面深入挖掘代码中的通用应用程序漏洞、业务逻辑漏洞、应用程序配置文件中的不安全因素,审计对象包括:Java、Python、C/C++、Objective-C等语言。

服务价值:
解决黑盒测试无法全面覆盖系统功能执行路径的问题;
更全面、更系统的检测客户应用系统代码层面安全问题,将问题从根源规避;
提供详实的修复建议并协助企业开发人员整改。

安全审计服务

服务介绍:

通过人工方式对客户网络设备、安全设备、主机和应用系统日志进行全面的日志审计、对进出核心数据库的访问流量进行数据报文字段级的解析、对账号管理、身份认证、同步监控、审计回放、自动化运维等进行运维审计。

服务价值:
发现企业现有系统所存在安全问题和薄弱环节;
为系统加固、问题处置提供依据和参考。

合规评估服务

服务介绍:

根据客户提供的行业合规要求,帮助企业在监管部门检查前自查自纠,提前发现问题,确保其符合行业安全合规、个人信息合规要求。

服务价值:
帮助企业满足合规监管要求;
帮助企业出具监管要求的自测报告;
协助企业人员解读安全监管要求,提供整改建议,帮助企业人员修复问题。

风险评估服务

服务介绍:

综合国内外相关标准与业界最佳实践,识别和评估客户信息资产重要性、威胁频率、脆弱性严重程度以及已有安全措施的有效性等要素,为客户清晰地展现信息系统所面临的安全风险。提供APP、Web、数据库、基线配置核查、端口与服务识别等综合漏洞扫描服务,准确发现网络中各主机、设备、应用、数据库等存在的网络信息安全漏洞,并提供整改建议。

服务价值:
重要业务系统上线前,评估系统安全风险;
全面识别资产脆弱性,包括APP、WEB、物联网终端等;
通过风险评估,协助客户准确了解组织的信息安全现状,明晰组织的信息安全需求,制定组织信息系统的安全策略和风险解决方案,建立组织自身的信息安全管理框架,指导组织未来的信息安全建设和投入。

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1