服务内容
什么是渗透测试?
渗透测试(PenetrationTest)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统安全做深入的探测,发现系统最脆弱的环节。
渗透测试是不是相当于入侵系统?
不是,渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性的方法和手段发现目标和网络设备中的弱点,帮助管理者知道自己网络所面临的问题。
渗透测试对业务系统有什么风险?
在测试过程中,无法避免会发生很多可预见和不可预见的风险,因此实施团队在测试之前会提供规避措施,以免对系统造成重大的影响,如:
尽量使用测试系统进行测试,而非直接在正式运行的系统上测试。
测试前对重要业务系统及数据进行备份操作。
有风险的测试行为在实施前与业务系统负责人进行沟通确认。
避免在业务高峰期进行测试。
测试过程出现异常情况时立即停止测试并及时恢复系统。
渗透测试会造成敏感数据泄露么?
不会,腾讯云渗透测试实施前会签署保密协议,对安全人员的使用设备和信息等严格管控,保证客户数据严格保密。
渗透测试发现的漏洞,如果客户方面修补不了,腾讯云是否会支持修补呢?
会提供相关支持,渗透结束后,会生成一个专业的测试报告交付给客户,报告中会为客户提供修补建议,如果最后发现漏洞仍然存在,腾讯云也会为客户人工答疑,协助客户修补漏洞。
一般渗透的周期是多久?
高级渗透测试,对于一个网站渗透周期一般情况为两周;
专业渗透测试,周期一般是在三个工作日左右,但还要根据现场环境和实际情况来做细致评估。
在进行渗透作业之前,都会做哪些准备工作呢?
了解客户的系统网络架构。
明晰客户的网络安全强度。
对渗透目标进行确认。
询问客户是否做了信息备份。
对渗透辅助的工具进行选择。
对渗透作业的时间进行选择。
让客户签署渗透测试授权书
渗透测试是否可以现场实施
可以,腾讯云渗透测试服务一般对于内网是驻场实施,外网可以远程实施,如果客户要求驻场,也可以进行驻场实施但是价格也会相应增加。
服务购买
如何购买渗透测试服务?
客户在 腾讯云官方网站 申请渗透测试服务并支付服务费用后,由销售团队和安全专家与客户进行需求沟通,确认客户安全需求后,腾讯云与客户协商由腾讯云实施或腾讯云推荐第三方实施,最后由客户服务验收确认后由腾讯云收款。
服务实施
如何做渗透测试?
在客户授权的情况下,由经验丰富的安全顾问或专家尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,在可控范围内尝试找出全部的安全隐患,并向客户提供评测报告和安全整改建议。
如何确保客户信息不外泄?
腾讯云有完善的信息安全服务防控体系。
腾讯云渗透测试服务实施前获取用户授权文件,签订保密协议。
对于内部系统安全则分别在主要出口处部署安全设备,从流量、文件、已知行为和未知行为等方面检测保密能力。
参与对外服务的人员均同公司签约劳动合同。
内网渗透是否存在风险?是否会对业务系统的运行产生影响?
不存在风险,腾讯云渗透测试服务有相应的风险规避措施,在时间安排上,会将测试时间安排在非高峰期,不会对业务系统的连续性产生影响。
渗透测试和安全扫描同样都是发现漏洞,那是不是可以理解为选择一样服务就可以了?
概念:腾讯云渗透测试服务是指在客户授权许可的情况下,由资深安全专家通过模拟黑客攻击的方式,在没有网站代码和服务器权限的情况下,对企业的在线平台进行全方位渗透入侵测试,来评估企业业务平台和服务器系统的安全性。
腾讯云渗透测试服务先于黑客发现客户的系统安全隐患,提前部署好安全防御措施,保证系统的每个环节在未来都能经得起黑客挑战,从而巩固客户对企业及平台的信赖,减少不必要的经济损失,提高用户体验度,增加用户对平台的信任和支持。
区别:腾讯云渗透测试服务除了定位漏洞外,还需要进一步尝试对漏洞进行攻击利用、提权以及维持对目标系统的控制权。而漏洞扫描是清楚地展示出系统中存在的所有缺陷,但不会衡量这些缺陷对系统造成的影响。渗透测试的侵略性要强很多,它会试图使用各种技术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细地定位和量化系统的所有漏洞。
腾讯云渗透测试服务需要客户配合什么?
需要客户提供渗透测试的范围。
需要客户对渗透测试进行授权。
有时需要客户提供测试账号
漏洞扫描能达到实时监控的目的吗?会有提醒机制吗,例如有新的漏洞时对客户进行提醒?
漏洞扫描跟实时监控是不一样的。
漏洞扫描可以进行周期性扫描,及时发现新的漏洞,提醒客户进行修复。