服务介绍

下一代渗透测试服务(Next Generation Penetration Testing,简称NGPT)是奇安信基于全球攻防态势剧烈变化,多年政企客户服务经验推出的全新渗透测试服务。它以下一代渗透测试服务协作平台为依托,将奇安信高级渗透测试工程师与补天精英可信白帽有机组织和整合,利用双轮驱动的交付模式,优势互补,全面深入地发现企业存在的安全隐患,及时帮助企业修复漏洞,并做好渗透测试后的进一步服务。

服务功能

NGPT针对网站或业务应用系统,提供必选基础服务和可选增值服务。

1) 必选基础服务:
  • • 初次渗透测试:模拟黑客实际攻击手法,对目标信息系统远程进行非破坏性安全测试,发现并验证系统存在的安全问题;
  • • 第一时间漏洞信息获取:用户通过登录服务协作平台,第一时间获取实施过程中挖掘到的漏洞和整改建议,而无需等待整个渗透测试工作完成;
  • • 复测:安全问题整改完成后,及时进行远程漏洞验证回检,确保漏洞已修复,以及未引入新的安全漏洞;
  • • 报告交付:测试工作完成后,撰写完整的《渗透测试报告》并交付给客户;
  • • 现场报告解读:提供现场报告解读服务,与奇安信渗透测试工程师面对面的交流,帮助用户准确、深入理解测试活动并从管理、流程和技术等方面为企业提供新思路和最佳实践。
2)可选增值服务:
  • • 补天安全情报服务:包括漏洞情报预警和Github源代码泄露监测服务,帮助客户安全运营常态化;
  • • 攻防技术培训:采取知识讲解与实际操作演练相结合的方式,提升客户安全团队的攻防技术能力;
  • • CISP-PTE/PTS培训及考试:国家级渗透测试能力注册考试,培养实战型人才。

服务优势

大兵团作战对抗潜在敌人,漏洞悬赏机制激发白帽潜能

奇安信渗透测试工程师带领经过补天平台严格审查的可信白帽,以竞争式漏洞悬赏、先到先得的机制激发白帽团队的无限潜能,不放过任何真实存在的安全问题。


多种监控审计机制,保障渗透测试全过程安全可靠

客户、奇安信渗透测试工程师、补天可信白帽以及漏洞审核专家均通过“下一代渗透测试服务协作平台”开展工作。协作平台实现测试过程的事中监控、事后审计。针对补天可信白帽,在前述技术机制约束下,还引入了管理控制手段作为参与项目的前置条件,保证白帽子在思想、责任和能力上都过硬,保障测试活动安全可控。


端到端管理流程,保障项目高质量和服务价值最大化
提供端到端的白帽管理、项目管理、漏洞管理:
  • • 根据补天白帽能力模型优选精英白帽;
  • • 专职项目经理深入理解客户诉求,统筹项目;
  • • 原厂渗透测试工程师整体牵引业务测试;
  • • 漏洞审核专家关注漏洞实际危害,快速响应和验证漏洞;
  • • 项目组7*24小时为客户提供远程技术支持。
补天安全情报赋能渗透测试工程师,更加专注流行安全风险和未知漏洞
补天漏洞情报可帮助工程师定向排查流行漏洞对组织的影响;补天Github泄露监测平台可监控与客户有关联的源代码片段,帮助工程师从不同视角发现潜伏的安全漏洞。

客户价值

更大限度发现企业信息系统真实存在的安全风险
由奇安信高级渗透测试工程师带领补天精英可信白帽组成作战大兵团,采用人工漏洞挖掘方式,帮助企业发现真实存在、可造成实际危害的安全漏洞。奇安信漏洞审核团队对漏洞进行有效性、危害和质量的评定,帮助企业聚焦有实际风险的安全问题。
基于业务视角深入发现业务逻辑漏洞和设计缺陷漏洞
NGPT团队站在使用者和运维者的角度,深入理解业务逻辑并通过发散思维和丰富经验,在业务流程中全面细致地发现可利用的弱点,并进一步尝试验证。大兵团作战模式、竞争式漏洞悬赏机制,让下一代渗透测试比传统渗透测试多发现至少25%的业务逻辑型漏洞。
漏洞暴露窗口期缩短至少90%
利用“人海战术”和“竞争悬赏机制”,驱动下一代渗透测试团队以更快的速度、更优的质量的方式去发现和报告漏洞。依托协作平台,在漏洞发现后的第一时间评定并推送给企业,协助企业以最快的时间完成修复。从历史统计数据来看,通过这种模式,漏洞暴露窗口期缩短至少90%,有效降低漏洞被攻击者发现和利用的风险。
双轮驱动的交付模式助力企业从漏洞管理向安全管理跨越
“基于协作平台的漏洞管理”和“基于客户现场的安全指导”双轮驱动模式保证了交付效果。前者在客户、奇安信渗透测试工程师、精英可信白帽之间搭建起漏洞流动的管道。后者依托奇安信对渗透测试深层次的理解和分析,直面漏洞发生的根源,从管理、流程和技术等方面为企业提供新思路和最佳实践。