Seer (Security Public Testing) es una plataforma que ayuda a las empresas a establecer centros privados de respuesta a emergencias (ayudando a las empresas a recopilar información sobre vulnerabilidades). Una vez que las empresas se unen a la plataforma Prophet (Pruebas públicas de seguridad), pueden publicar de forma independiente planes de recompensa para alentar a los expertos en seguridad en la plataforma Prophet a probar y enviar vulnerabilidades en el sitio web o sistema comercial de la propia empresa para garantizar que se pueda responder y responder rápidamente a los riesgos de seguridad. reparado para evitar mayores consecuencias.

El servicio Prophet (pruebas públicas de seguridad) tiene como objetivo establecer un centro de respuesta a emergencias de seguridad (Centro de Respuesta de Seguridad) eficiente y completo para empresas. Al unirse a la plataforma Prophet (Pruebas públicas de seguridad), las empresas pueden utilizar los numerosos sombreros blancos creíbles y de alta calidad de la plataforma para descubrir rápidamente problemas de seguridad en sus negocios existentes, incluidas vulnerabilidades de lógica empresarial, problemas de permisos y otras vulnerabilidades que no se pueden detectar de manera efectiva. mediante herramientas de seguridad, etc., lo antes posible. Descubrir las vulnerabilidades existentes puede reducir eficazmente posibles pérdidas para la empresa. Además, a medida que el negocio continúa desarrollándose, los problemas de seguridad en nuevos servicios se pueden descubrir de manera oportuna mediante pruebas de seguridad continuas de sombrero blanco. La Plataforma Prophet mantendrá estrictamente la confidencialidad de las vulnerabilidades de todas las empresas participantes, evitando así que se publiquen de forma maliciosa.

Personaliza tu propio plan de recompensas

Colección de vulnerabilidades

Auditoría de vulnerabilidad gratuita

Ayudar con la corrección de errores

Contenido del servicio Clasificación de servicios Descripción del servicio Vía de Servício Entregables del servicio Pruebas del sistema de aplicación. Pruebas básicas de lógica empresarial. Con una mentalidad de atacante (hacker), Alibaba Cloud lleva a cabo pruebas de seguridad integrales y en profundidad de los sistemas comerciales, ayuda a los clientes a identificar fallas de seguridad y vulnerabilidades ocultas en los procesos comerciales normales y brinda sugerencias de reparación para ayudar a los clientes a descubrir problemas de seguridad antes de que los atacantes (hackers). Riesgos y resolución de problemas de seguridad. Activos de intranet y extranet "Informe de prueba de vulnerabilidad" "Opiniones de reparación e informe de nueva prueba" Prueba de vulnerabilidad TOP 10 de OWASP Pruebas de componentes de terceros Prueba de autenticación de permisos Pruebas de configuración de seguridad pruebas de procesos de negocio Pruebas de aplicaciones móviles Prueba de cliente: Prueba del paquete de instalación Pruebas de seguridad de transmisión de datos Pruebas de seguridad de componentes Pruebas de mejora de seguridad Pruebas de seguridad de actualización de aplicaciones Para las aplicaciones de aplicaciones móviles, los clientes deben considerar la seguridad tanto del cliente como del servidor. Alibaba Cloud cubre completamente todo el ciclo de vida de seguridad de la aplicación y realiza pruebas en profundidad de refuerzo de seguridad y cumplimiento de datos. Prueba del lado del servidor: Prueba de seguridad del sistema de cuentas Pruebas básicas de seguridad empresarial Pruebas de protección de código Pruebas adversarias de protección dinámica

Contenido del servicio Clasificación de servicios Descripción del servicio Vía de Servício Entregables del servicio Servicios de investigación y evaluación del estado de seguridad de la red. Clasificación de activos Alibaba Cloud realiza un inventario completo de los activos de los clientes expuestos a las redes internas y externas e investiga todos los puertos y servicios detectados expuestos a la red externa. Alibaba Cloud clasifica el sitio web, el sistema y la plataforma del cliente, identifica las unidades responsables y las personas responsables específicas del sitio web y el sistema, y ​​forma una lista detallada. Activos de red externa y activos de intranet "Lista de activos abiertos de Internet" "Lista de activos del sistema de aplicaciones" Investigación de riesgo de activos Alibaba Cloud utiliza una combinación de herramientas especiales y trabajo manual para realizar un inventario completo de los activos de la intranet del cliente y realiza de manera integral escaneo de vulnerabilidades, inspección de contraseñas débiles, inspección de seguimiento de intrusiones, verificación de puertos abiertos y limpieza de cuentas y sistemas inútiles según el cliente. lista de activos existentes. Esperando trabajo. Activos de intranet "Informe de análisis de vulnerabilidades" "Informe de escaneo de contraseñas débiles" "Informe de inspección de seguridad del anfitrión" Ayudar en la remediación del riesgo de activos. Alibaba Cloud ayuda a los clientes a clasificar los resultados de las inspecciones de activos de la intranet, brinda asesoramiento profesional sobre la prioridad de la reparación de vulnerabilidades y brinda orientación y sugerencias sobre la reparación de vulnerabilidades. "Sugerencias para solucionar vulnerabilidades" Pruebas de penetración Alibaba Cloud se basa en técnicas de ataque de piratas informáticos y técnicas para penetrar los activos de la red externa de los clientes a través de múltiples métodos y ángulos dentro de un rango controlable para descubrir vulnerabilidades en la mayor medida posible para que la defensa de la red pueda operar normalmente de acuerdo con el plan predeterminado. Activos de extranet "Informe de evaluación de la prueba de penetración del sistema XX" Análisis de seguridad de la arquitectura de red. Alibaba Cloud analiza el estado actual de la capacidad de seguridad de la arquitectura de red actual del cliente, así como la dirección del flujo de los flujos comerciales clave, etc., para facilitar la posterior complementación, monitoreo, análisis y resolución de las deficiencias de la capacidad de seguridad. ninguno "Informe de análisis de seguridad de la arquitectura de red" Evaluación de conciencia de seguridad Para probar la efectividad de la capacitación en concientización sobre la seguridad de los clientes y fortalecer el reconocimiento de la concientización sobre la seguridad, Alibaba Cloud necesita realizar una evaluación de la concientización sobre la seguridad de la red. Alibaba Cloud utiliza métodos de ingeniería social simulados, como phishing por correo electrónico, fraude de telecomunicaciones, falsificación de identidad y visitas a oficinas, para realizar evaluaciones de concienciación sobre la seguridad. ninguno "Informe de evaluación de la concienciación sobre la seguridad" Servicio de simulacro de combate real de confrontación roja y azul. Organización del simulacro de enfrentamiento rojo y azul Alibaba Cloud ayuda a los clientes a coordinar planes, planes y diversas tareas para ejercicios ofensivos y defensivos reales contra rojo y azul. Después del ejercicio, Alibaba Cloud resolvió las ideas de ataque del ejército azul, las rutas de resultados y los métodos de ataque durante el ejercicio, así como los eventos de ataque, las características de los ataques, los troyanos y las medidas de manejo de incidentes detectados durante el proceso de defensa coordinada del ejército rojo; resumir la experiencia de combate real basada en los resultados de la confrontación roja y azul, analizar las deficiencias en las capacidades de protección y los sistemas de seguridad, y discutir soluciones implementables para ayudar a los clientes a rectificar y reforzar los problemas descubiertos; ninguno "Informe de revisión del ejercicio de confrontación rojo-azul" "Informe de la fase de simulacro de enfrentamiento rojo-azul" "Toda la red y todos los activos portuarios" Servicios del equipo azul (equipo de ataque) El equipo de ataque de seguridad de Alibaba Cloud llevará a cabo intrusiones en la red de acuerdo con los estándares de ejercicios de ataque y defensa, encontrará rutas de ataque y obtendrá información clave del sistema objetivo (que incluye, entre otros, información de activos, datos comerciales importantes, códigos o cuentas de administrador, etc.) y descubrir las vulnerabilidades de seguridad y los peligros ocultos de los clientes, y explorar las capacidades de protección de seguridad del cliente después del ejercicio, se deben mantener registros, organizar los resultados y limpiar los rastros de los ataques; ninguno "Informe de ataque del ejército azul y confrontación roja y azul" Servicio del Ejército Rojo (asistente de defensa) Según el alcance de los activos del ejercicio, Alibaba Cloud envió un ingeniero para ayudar al cliente en el monitoreo de ataques y la respuesta de emergencia, monitorear el comportamiento de los ataques en tiempo real, detectar eventos de intrusión, analizar y manejar eventos y garantizar el funcionamiento seguro y sin problemas de el sistema empresarial verificar si el mecanismo de coordinación de seguridad y el mecanismo de respuesta a emergencias pueden funcionar normalmente ayudará a los clientes a analizar y optimizar. ninguno "Confrontación roja y azul - Trabajo diario de asistencia y defensa"

Los sombreros blancos se refieren a expertos en seguridad que participan en el proceso de presentación de vulnerabilidades a través de la plataforma Prophet. Los sombreros blancos pueden identificar vulnerabilidades de seguridad en sistemas informáticos o sistemas de red, pero no las explotarán maliciosamente, sino que informarán las vulnerabilidades para ayudar a las empresas a corregirlas antes de que otros las exploten maliciosamente y a mantener la seguridad informática e Internet.

Los sombreros blancos pueden obtener el título de profeta presentando vulnerabilidades, y el nivel del profeta se determina en última instancia en función de los puntos obtenidos, por lo que puede ver términos como "Profeta de nivel 4" y "Profeta de nivel 5".

Las empresas que se unen a la plataforma Prophet (Security Public Testing) pueden establecer un plan de recompensas, es decir, las vulnerabilidades de alto, medio y bajo riesgo de la empresa mostrarán los montos de la recompensa al mundo exterior, respectivamente. La plataforma Prophet también decidirá cuánto dinero distribuir a los sombreros blancos en función de esta cantidad de recompensa.

Las vulnerabilidades de riesgo alto, medio y bajo corresponden a un rango fijo de valores de contribución. Las empresas que se unen a la plataforma Prophet (Security Public Testing) solo necesitan establecer un coeficiente de recompensa. Por ejemplo, si el valor de contribución básico de una vulnerabilidad de alto riesgo es de 60 a 80 puntos y la empresa establece el coeficiente de recompensa en 10, entonces el monto final del programa de recompensa de vulnerabilidad de alto riesgo oscilará entre 600 y 800 yuanes.