服務介紹

下一代滲透測試服務（Next Generation Penetration Testing，簡稱NGPT）是正達科技基于全球攻防態(tài)勢劇烈變化，多年政企客戶服務經(jīng)驗推出的全新滲透測試服務。它以下一代滲透測試服務協(xié)作平臺為依托，將正達科技高級滲透測試工程師與補天精英可信白帽有機組織和整合，利用雙輪驅(qū)動的交付模式，優(yōu)勢互補，全面深入地發(fā)現(xiàn)企業(yè)存在的安全隱患，及時幫助企業(yè)修復漏洞，并做好滲透測試后的進一步服務。

服務功能

NGPT針對網(wǎng)站或業(yè)務應用系統(tǒng)，提供必選基礎服務和可選增值服務。

1） 必選基礎服務：

? 初次滲透測試：模擬黑客實際攻擊手法，對目標信息系統(tǒng)遠程進行非破壞性安全測試，發(fā)現(xiàn)并驗證系統(tǒng)存在的安全問題；

? 第一時間漏洞信息獲?。河脩敉ㄟ^登錄服務協(xié)作平臺，第一時間獲取實施過程中挖掘到的漏洞和整改建議，而無需等待整個滲透測試工作完成；

? 復測：安全問題整改完成后，及時進行遠程漏洞驗證回檢，確保漏洞已修復，以及未引入新的安全漏洞；

? 報告交付：測試工作完成后，撰寫完整的《滲透測試報告》并交付給客戶；

? 現(xiàn)場報告解讀：提供現(xiàn)場報告解讀服務，與正達科技滲透測試工程師面對面的交流，幫助用戶準確、深入理解測試活動并從管理、流程和技術等方面為企業(yè)提供新思路和實踐指導。

2）可選增值服務：

? 補天安全情報服務：包括漏洞情報預警和Github源代碼泄露監(jiān)測服務，幫助客戶安全運營常態(tài)化；

? 攻防技術培訓：采取知識講解與實際操作演練相結合的方式，提升客戶安全團隊的攻防技術能力；

? CISP-PTE/PTS培訓及考試：滲透測試能力注冊考試，培養(yǎng)實戰(zhàn)型人才。

服務優(yōu)勢

大兵團作戰(zhàn)對抗?jié)撛跀橙耍┒磻屹p機制激發(fā)白帽潛能

正達科技滲透測試工程師帶領經(jīng)過補天平臺嚴格審查的可信白帽，以競爭式漏洞懸賞、先到先得的機制激發(fā)白帽團隊的無限潛能，不放過任何真實存在的安全問題。

多種監(jiān)控審計機制，保障滲透測試全過程安全可靠

客戶、正達科技滲透測試工程師、補天可信白帽以及漏洞審核專家均通過“下一代滲透測試服務協(xié)作平臺”開展工作。協(xié)作平臺實現(xiàn)測試過程的事中監(jiān)控、事后審計。針對補天可信白帽，在前述技術機制約束下，還引入了管理控制手段作為參與項目的前置條件，保證白帽子在思想、責任和能力上都過硬，保障測試活動安全可控。

端到端管理流程，保障項目高質(zhì)量和服務價值大化

提供端到端的白帽管理、項目管理、漏洞管理：

? 根據(jù)補天白帽能力模型優(yōu)選精英白帽；

? 專職項目經(jīng)理深入理解客戶訴求，統(tǒng)籌項目；

? 原廠滲透測試工程師整體牽引業(yè)務測試；

? 漏洞審核專家關注漏洞實際危害，快速響應和驗證漏洞；

? 項目組7*24小時為客戶提供遠程技術支持。

補天安全情報賦能滲透測試工程師，更加專注流行安全風險和未知漏洞

補天漏洞情報可幫助工程師定向排查流行漏洞對組織的影響；補天Github泄露監(jiān)測平臺可監(jiān)控與客戶有關聯(lián)的源代碼片段，幫助工程師從不同視角發(fā)現(xiàn)潛伏的安全漏洞。

客戶價值

更大限度發(fā)現(xiàn)企業(yè)信息系統(tǒng)真實存在的安全風險

由正達科技高級滲透測試工程師帶領補天精英可信白帽組成作戰(zhàn)大兵團，采用人工漏洞挖掘方式，幫助企業(yè)發(fā)現(xiàn)真實存在、可造成實際危害的安全漏洞。正達科技漏洞審核團隊對漏洞進行有效性、危害和質(zhì)量的評定，幫助企業(yè)聚焦有實際風險的安全問題。

基于業(yè)務視角深入發(fā)現(xiàn)業(yè)務邏輯漏洞和設計缺陷漏洞

NGPT團隊站在使用者和運維者的角度，深入理解業(yè)務邏輯并通過發(fā)散思維和豐富經(jīng)驗，在業(yè)務流程中全面細致地發(fā)現(xiàn)可利用的弱點，并進一步嘗試驗證。大兵團作戰(zhàn)模式、競爭式漏洞懸賞機制，讓下一代滲透測試比傳統(tǒng)滲透測試多發(fā)現(xiàn)至少25%的業(yè)務邏輯型漏洞。

漏洞暴露窗口期縮短至少90%

利用“人海戰(zhàn)術”和“競爭懸賞機制”，驅(qū)動下一代滲透測試團隊以更快的速度、更優(yōu)的質(zhì)量的方式去發(fā)現(xiàn)和報告漏洞。依托協(xié)作平臺，在漏洞發(fā)現(xiàn)后的第一時間評定并推送給企業(yè)，協(xié)助企業(yè)盡快完成修復。從歷史統(tǒng)計數(shù)據(jù)來看，通過這種模式，漏洞暴露窗口期縮短至少90%，有效降低漏洞被攻擊者發(fā)現(xiàn)和利用的風險。

雙輪驅(qū)動的交付模式助力企業(yè)從漏洞管理向安全管理跨越

“基于協(xié)作平臺的漏洞管理”和“基于客戶現(xiàn)場的安全指導”雙輪驅(qū)動模式保證了交付效果。前者在客戶、正達科技滲透測試工程師、精英可信白帽之間搭建起漏洞流動的管道。后者依托正達科技對滲透測試深層次的理解和分析，直面漏洞發(fā)生的根源，從管理、流程和技術等方面為企業(yè)提供新思路和實踐指導。