渗透测试服务

通过我们的渗透测试服务,了解攻击者如何利用您的漏洞,并指导如何阻止它们.

在安全领域和在生活中一样,最难指出的弱点是你自己. 幸运的是,我们可以彻底记录你所有的缺点. 事实上,这是我们的工作. 这是一件好事:了解您的漏洞——以及攻击者可能利用它们的方式——是您可以在改进安全程序时获得的最重要的见解之一. 考虑到这一点, Rapid7的渗透测试服务团队将在您的网络上模拟真实的攻击, 应用程序, 设备, 和/或人员来展示您的关键系统和基础设施的安全级别,并向您展示需要采取哪些措施来加强它. 就像你妈妈一样,我们不会因为你的缺点让你烦恼而强调它——我们这样做是因为我们关心你.

我们能帮什么忙??

让我们的专家模拟对您网络的攻击,向您展示您的弱点(以及如何加强它们)。.

联系我们

远远超过安全专家

阻止攻击者的最好方法是像攻击者一样思考和行动. 这就是为什么, 不像很多保安公司, 我们不雇用刚毕业的毕业生或在IT方面比安全经验更丰富的人作为渗透测试人员. 相反,我们发现好人知道坏事. 比如自动取款机黑客, 多功能打印机开发, 汽车无钥匙进入攻击, 端点保护旁路技术, 射频识别克隆, 绕过安全警报系统,你懂的. 还有那些人? 他们不仅仅是安全专家,他们是真正的黑客.

为了永远领先于攻击者一步,并帮助其他人做到这一点,我们的测试人员投入了25%的时间进行研究并为安全社区做出贡献, 出版的文章, 在会议上发言, 开发和发布开源测试工具, 以及编写流行的Metasploit模块. (奖励:由于我们拥有Metasploit,我们的渗透测试人员获得了最广泛使用的无与伦比的访问权限 渗透测试工具 在这个世界上.)

修复什么,何时修复,如何修复

从大多数渗透测试中,你能期望得到的最好结果是一长串问题,几乎没有关于如何修复它们或从哪里开始的上下文. 有帮助的,对吧? Rapid7提供了问题的优先级列表, 基于使用行业标准排序过程的每个发现的可利用性和影响.

你还能指望什么呢?? 每个发现的详细描述和概念证明, 以及一个可行的补救计划. 因为我们知道,风险的严重性只是优先考虑补救工作的一个因素, 我们还将深入了解修复这些发现所需的努力程度. 此外,您还将收到:

  • 一个带你经历复杂连锁攻击的攻击故事板
  • 从攻击者的角度比较您的环境与最佳实践的记分卡
  • 积极的调查结果表明您拥有哪些有效的安全控制

遵从性是良好安全性的副产品

我们相信良好的安全性会带来良好的合规性. 这就是为什么我们所做的一切——从我们对Metasploit的投资和承诺到我们新的攻击者分析产品——都专注于帮助您更好地了解攻击者以及如何防御他们. This extends to our penetration testing services; every company’s network 和 challenges are unique, 因此,我们的渗透测试人员为每次交战量身定制他们的方法和攻击向量. 我们也会定期对自己的网络和产品进行渗透测试, 以确保它们在检测真实世界的攻击时始终处于最新状态.

我们的渗透测试服务

Rapid7提供了一系列的渗透测试服务来满足您的需求. 找不到你要找的东西? 联系了解我们的定制解决方案.

  • 网络渗透测试服务-外部或内部

    我们模拟真实世界的攻击,以提供对网络基础设施的漏洞和威胁的时间点评估.

  • Web应用渗透测试服务

    除了开源安全测试方法手册(OSSTMM)和渗透测试执行标准(PTES)之外,Rapid7的应用渗透测试服务还利用了开放Web应用安全项目(OWASP)。, 用于评估基于web的应用程序安全性的综合框架, 作为我们web应用程序评估方法的基础.

  • 移动应用渗透测试服务

    随着移动应用程序的广泛使用不断增长, 消费者和企业发现自己面临着隐私方面的新威胁, 不安全的应用集成, 以及设备盗窃. 我们不仅要查看API和web漏洞,还要检查应用程序在移动平台上的风险. 我们利用开放Web应用程序安全项目(OWASP), 开源安全测试方法手册(OSSTMM), 以及渗透测试执行标准(PTES)方法,以彻底评估移动应用程序的安全性.

  • 物联网和互联网感知设备测试

    互联网感知设备从无所不在, 商用物联网(IoT)设备和系统到汽车, 医疗保健和关键任务工业控制系统(ICS). 我们的测试超越了基本的设备测试,考虑了目标的整个生态系统, 涵盖通信渠道和协议等领域, 加密和密码学的使用, 接口和api, 固件, 硬件, 以及其他关键领域. 我们深入的手工测试和分析寻找已知的和以前未发现的漏洞.

  • 社会工程渗透测试服务

    恶意用户通常通过社会工程比传统的网络/应用程序利用更能成功地破坏网络基础设施. 帮助你为这种罢工做好准备, 我们使用人工和电子相结合的方法来模拟攻击. 基于人的攻击包括冒充受信任的个人,试图获取信息和/或访问信息或客户端基础设施. 基于电子的攻击包括使用复杂的网络钓鱼攻击,这些攻击是根据特定的组织目标和严格性精心设计的. Rapid7将为您的组织定制方法论和攻击计划.

  • 红队攻击模拟

    希望关注组织的防御、检测和响应能力? Rapid7与您一起开发自定义的攻击执行模型,以正确地模拟您的组织面临的威胁. 模拟包括现实世界的对抗行为和战术, 技术, 和程序(TTPs), 允许您在面对顽固和坚定的攻击者时衡量安全程序的真正有效性.

  • 无线网络渗透测试服务

    我们利用开源安全测试方法手册(OSSTMM)和渗透测试执行标准(PTES)作为我们无线评估方法的基础, 哪一个模拟真实世界的攻击,以提供对无线网络基础设施的漏洞和威胁的时间点评估.

帽衫之下:来自Rapid7渗透测试员的真实故事

每年,Rapid7渗透测试人员完成超过1000次的评估. 我们收集了一些故事,让你对连帽衫下面发生的事情有一些真实的了解.

银行工作

这个社会工程的真实故事归功于它的成功——有些是象征性的, 还有一些大到可以穿过. 找出我们的临时麦盖弗是如何绕过银行的安全检查站进行一笔不正当的存款以帮助他从停车场侵入.

银行工作远程控制一个人的垃圾是另一个人的宝贝你曾经拥有过我你好攻击邻居在开球时被选中打败你两次