由於多種原因需要進行漏洞評估。通常企業由於了解其安全狀況需要改善而選擇進行漏洞評估,但由於無法確定從何處開始,因此需要一些專業的建議。
我們將首先確定最嚴重的問題,並提供降低損失的解決方案建議。隨後,確定不太嚴重的問題,以減輕影響並將整體風險降到最低。
此外,PCI、DSS等標準可能會要求進行漏洞評估,要求商家根據系統進行定期測試。
降低風險或將風險最小化取決於多種因素,例如其他可更換的漏洞、設備位置及存取控制等。作為威聯集團的增值服務,我們將利用我們的經驗和專業知識為當前企業的漏洞提供分析和諮詢服務,並為其推薦可降低風險的解決方案。
根據環境和需求,漏洞評估可採用如下方式進行:
-
識別已知和未知的資產
-
發現認證漏洞或網絡漏洞
-
敏感內容審計
-
主機、網絡、子網等的選擇性重複掃描
-
身份認證的弱點
-
殭屍網絡、惡意程序、抗電腦病毒審計
-
合規審計(FFIEC、FISMA、CyberScope、GLBA、HIPAA/HITECH、NERC、PCI、SCAP、SOX)
廣泛的資產覆蓋
-
網絡設備:防火牆、路由器、交換機(Juniper、Check Point、Cisco、Palo Alto Networks)、打印機、儲存器
-
虛擬化技術: VMware ESX, ESXi, vSphere, vCenter, Microsoft, Hyper-V, Citrix Xen Server
-
操作系統: Windows, OS X, Linux, Solaris, FreeBSD, Cisco iOS, IBM iSeries
-
數據庫: Oracle, SQL Server, MySQL, DB2, Informix/DRDA, PostgreSQL, MongoDB
-
網上應用系統:網絡伺服器、網絡服務、OWASP漏洞
-
雲端:掃描Salesforce等雲端應用程式配置和AWS及Rackspace等雲端應用實例
我們可提供的服務
我們的總結報告包含以下部分:
概要
- 執行摘要
- 已發現漏洞概要
- 修復建議
- 關於確定最關鍵漏洞的建議
詳情
我們的認證資質
威聯的安全顧問和滲透測試工程師均持有網絡安全和滲透測試行業最具含金量的資質證書,例如:SANS/GIAC GPEN、GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等。