渗透测试服务

通过我们的渗透测试服务,了解攻击者如何利用您的漏洞,并指导如何阻止它们.

在安全领域和在生活中一样,最难指出的弱点是你自己. 幸运的是,我们可以彻底记录你所有的缺点. 事实上,这是我们的工作. 这是一件好事:了解您的漏洞——以及攻击者可能利用它们的方式——是您可以在改进安全程序时获得的最重要的见解之一. With that in mind, Rapid7的渗透测试服务团队将在您的网络上模拟真实的攻击, applications, devices, 和/或人员来展示您的关键系统和基础设施的安全级别,并向您展示需要采取哪些措施来加强它. 就像你妈妈一样,我们不会因为你的缺点让你烦恼而强调它——我们这样做是因为我们关心你.

How can we help?

让我们的专家模拟对您网络的攻击,向您展示您的弱点(以及如何加强它们)。.

Contact Us

远远超过安全专家

阻止攻击者的最好方法是像攻击者一样思考和行动. Which is why, unlike many security firms, 我们不雇用刚毕业的毕业生或在IT方面比安全经验更丰富的人作为渗透测试人员. 相反,我们发现好人知道坏事. Things like ATM hacking, 多功能打印机开发, 汽车无钥匙进入攻击, 端点保护旁路技术, RFID cloning, 绕过安全警报系统,你懂的. And those kinds of people? 他们不仅仅是安全专家,他们是真正的黑客.

为了永远领先于攻击者一步,并帮助其他人做到这一点,我们的测试人员投入了25%的时间进行研究并为安全社区做出贡献, publishing articles, presenting at conferences, 开发和发布开源测试工具, 以及编写流行的Metasploit模块. (奖励:由于我们拥有Metasploit,我们的渗透测试人员获得了最广泛使用的无与伦比的访问权限 penetration testing tool in the world.)

修复什么,何时修复,如何修复

从大多数渗透测试中,你能期望得到的最好结果是一长串问题,几乎没有关于如何修复它们或从哪里开始的上下文. Helpful, right? Rapid7提供了问题的优先级列表, 基于使用行业标准排序过程的每个发现的可利用性和影响.

What can you expect? 每个发现的详细描述和概念证明, 以及一个可行的补救计划. 因为我们知道,风险的严重性只是优先考虑补救工作的一个因素, 我们还将深入了解修复这些发现所需的努力程度. 此外,您还将收到:

  • 一个带你经历复杂连锁攻击的攻击故事板
  • 从攻击者的角度比较您的环境与最佳实践的记分卡
  • 积极的调查结果表明您拥有哪些有效的安全控制

遵从性是良好安全性的副产品

我们相信良好的安全性会带来良好的合规性. 这就是为什么我们所做的一切——从我们对Metasploit的投资和承诺到我们新的攻击者分析产品——都专注于帮助您更好地了解攻击者以及如何防御他们. This extends to our penetration testing services; every company’s network and challenges are unique, 因此,我们的渗透测试人员为每次交战量身定制他们的方法和攻击向量. 我们也会定期对自己的网络和产品进行渗透测试, 以确保它们在检测真实世界的攻击时始终处于最新状态.

Our pen testing services

Rapid7提供了一系列的渗透测试服务来满足您的需求. 找不到你要找的东西? 联系了解我们的定制解决方案.

  • 网络渗透测试服务-外部或内部

    我们模拟真实世界的攻击,以提供对网络基础设施的漏洞和威胁的时间点评估.

  • Web应用渗透测试服务

    除了开源安全测试方法手册(OSSTMM)和渗透测试执行标准(PTES)之外,Rapid7的应用渗透测试服务还利用了开放Web应用安全项目(OWASP)。, 用于评估基于web的应用程序安全性的综合框架, 作为我们web应用程序评估方法的基础.

  • 移动应用渗透测试服务

    随着移动应用程序的广泛使用不断增长, 消费者和企业发现自己面临着隐私方面的新威胁, 不安全的应用集成, and device theft. 我们不仅要查看API和web漏洞,还要检查应用程序在移动平台上的风险. 我们利用开放Web应用程序安全项目(OWASP), 开源安全测试方法手册(OSSTMM), 以及渗透测试执行标准(PTES)方法,以彻底评估移动应用程序的安全性.

  • 物联网和互联网感知设备测试

    互联网感知设备从无所不在, 商用物联网(IoT)设备和系统到汽车, 医疗保健和关键任务工业控制系统(ICS). 我们的测试超越了基本的设备测试,考虑了目标的整个生态系统, 涵盖通信渠道和协议等领域, 加密和密码学的使用, interfaces and APIs, firmware, hardware, and other critical areas. 我们深入的手工测试和分析寻找已知的和以前未发现的漏洞.

  • 社会工程渗透测试服务

    恶意用户通常通过社会工程比传统的网络/应用程序利用更能成功地破坏网络基础设施. 帮助你为这种罢工做好准备, 我们使用人工和电子相结合的方法来模拟攻击. 基于人的攻击包括冒充受信任的个人,试图获取信息和/或访问信息或客户端基础设施. 基于电子的攻击包括使用复杂的网络钓鱼攻击,这些攻击是根据特定的组织目标和严格性精心设计的. Rapid7将为您的组织定制方法论和攻击计划.

  • Red Team Attack Simulation

    希望关注组织的防御、检测和响应能力? Rapid7与您一起开发自定义的攻击执行模型,以正确地模拟您的组织面临的威胁. 模拟包括现实世界的对抗行为和战术, techniques, and procedures (TTPs), 允许您在面对顽固和坚定的攻击者时衡量安全程序的真正有效性.

  • 无线网络渗透测试服务

    我们利用开源安全测试方法手册(OSSTMM)和渗透测试执行标准(PTES)作为我们无线评估方法的基础, 哪一个模拟真实世界的攻击,以提供对无线网络基础设施的漏洞和威胁的时间点评估.

帽衫之下:来自Rapid7渗透测试员的真实故事

每年,Rapid7渗透测试人员完成超过1000次的评估. 我们收集了一些故事,让你对连帽衫下面发生的事情有一些真实的了解.

The Bank Job

这个社会工程的真实故事归功于它的成功——有些是象征性的, 还有一些大到可以穿过. 找出我们的临时麦盖弗是如何绕过银行的安全检查站进行一笔不正当的存款以帮助他从停车场侵入.

The Bank JobRemote Control一个人的垃圾是另一个人的宝贝You Had Me Before HelloHack Thy NeighborPicked Off on the KickoffPwned You Twice