零日漏洞利用事件的大幅增长,这些企业需重视渗透测试
根据谷歌威胁分析小组去年7月发布的报告,2021年野外利用零日漏洞数量(69个)创下历史新高后,2022年有所下滑,但2023年随着重大零日漏洞利用事件的大幅增长,零日漏洞攻击重新升温,从商业间谍到勒索软件攻击,零日漏洞被广泛使用。
零日漏洞利用对攻击者的财力或技能有着很高要求,但是“零日漏洞+供应链攻击”产生的倍增效应使得零日漏洞攻击的“投入产出比”极速飙升。赛门铁克首席情报分析师Dick O’Brien指出,2024年攻击者将更频繁地利用零日漏洞,因为类似MOVEit文件传输漏洞可产生巨大的“爆炸半径”,同时影响全球数以千计的企业。
以下是2023年10起最大的零日攻击(按时间顺序排列)。
- 01 —— GoAnywhere —— MFT零日漏洞
- 02 —— 梭子鱼邮件安全网关 —— 远程命令注入漏洞
- 03 —— MoveIt Transfer —— MFT零日漏洞
- 04 —— VMwareTools —— 身份验证绕过漏洞
- 05 —— 微软Windows和Office —— 远程代码执行漏洞
- 06 —— WebP/Libwebp —— 堆栈缓冲区溢出漏洞
- 07 —— 苹果iOS和iPadOS —— 操作系统内核提权漏洞
- 08 —— Atlassian Confluence —— 满分漏洞
- 09 —— Citrix Bleed —— MFA绕过
- 10 —— 思科IOS XE —— “满分漏洞”
2023年,随着勒索软件和APT组织纷纷调整攻击策略,零日漏洞攻击快速升温并有望在2024年延续这一趋势。与此同时,2024年各行业的面临的网络安全风险也日益严峻,尤其是政府、税务、金融、能源、航空、互联网等关键行业需要对渗透测试工作尤为重视。
渗透测试对于企业的安全发展具有至关重要的作用。为了保障企业的安全发展,需要重视渗透测试的重要性,对各个重要系统进行渗透测试,将注入勒索病毒之类的风险杜绝“门外”。同时,企业还需要不断提高自身的安全意识和能力,以应对不断变化的攻击手段和环境。
承制科技渗透测试服务
承制技术服务部在获取客户书面授权委托同意后实施操作,由专业渗透测试工程师采用完全模拟入侵者可能使用的攻击技术和漏洞发现技术,利用专家经验对网络中常用的应用系统等进行非破坏性质的模拟攻击,发现系统最脆弱的环节,并将测试的过程和细节形成书面报告。
渗透测试服务内容
- Web渗透测试服务
Web渗透测试服务围绕系统层、应用层、网络层等技术层面开展,通过模拟黑客使用的工具、分析方法,针对不同层面的安全漏洞及威胁进行模拟攻击,先于黑客攻击之前发现安全隐患,并根据不同的漏洞提出相应的修补建议。
- 客户端渗透测试服务
客户端渗透测试通过真实模拟⿊客使⽤的攻击⽅式,对客户端的组件、网络交互、接口等进行黑盒和白盒角度全面的测试,找出客户端存在的脆弱性,并提供安全修复建议。
- 物联网渗透测试服务
主要参照开放网络应用程序安全计划(OWASP)发布的物联网十大安全漏洞及其他新兴行业标准对物联网设备进行渗透测试。包括密码、网络服务和协议、访问接口、安全更新机制、隐私保护、敏感的数据传输和存储等方面。
- APP安全性检测服务
针对业务系统相关的APP做全面的安全性检测。包括静态检测、动态检测和个人隐私权限检测。
- 渗透测试人才培养
采取知识讲解与实际操作演练相结合的方式进行攻防技术培训,可以帮助企业提升安全团队的攻防技术能力,并通过CISP-PTE/PTS认证考试,培养高素质的攻防实战型人才。
渗透测试服务价值
- 通过对目标业务系统开展渗透测试,及时发现目标资产的安全漏洞,将风险扼杀于萌芽,为客户保驾护航。
- 通过对物联网设备开展安全检测,发现目标物联网设备的安全隐患与漏洞,并根据相应的建议和补救措施进行提升,降低安全漏洞风险,规避各类损失。
- 全面掌握移动APP各类风险,提升移动APP多层面的安全性,使产品符合国家以及行业监管要求,同时也可以提升开发人员和测试人员安全意识。
- 通过攻防技术培训,提升企业安全团队的攻防技术能力,建立高素质的实战团队。
- 承制科技践行以生态为基础,以客户为中心,以价值为导向的管理理念,在创新和协同的基础上可以提供优质的服务并降低客户的成本,提供超出客户预期的价值。
承制服务特色渗透测试服务
- 定制化服务。承制科技会针对客户不同的需求制定不同的服务内容,即便是一个很小的订单,承制科技也会由专业团队定制完善的服务。
- 服务响应快。承制科技团队服务速度快,人员效率高且技术专业,随时可应对客户的“急需求”。
- 客户满意度高。截止目前承制科技已经服务多家企业,包括但不限于汽车制造业、乳制品业、电商等众多行业,所有客户均对整体服务非常满意。