渗透测试服务

有时进攻是最好的防御. 当您的组织使用LBMC信息安全进行渗透测试时, 你会在网络攻击者之前发现防御系统中的漏洞. 你的渗透测试员最好能找到弱点,而不是你的对手.

LBMC信息安全是田纳西州最大的信息安全实践之一. 我们有实际的经验和证书,可以熟练地对您的网络进行渗透测试, 系统, 以及许多遵从性标准所要求的应用程序, 包括支付卡行业数据安全标准(PCI DSS). 渗透测试可能是侵入性的, 但我们经验丰富的专家知道如何列举安全弱点, 识别和验证潜在的攻击载体, 利用漏洞, 并确定环境易受攻击的程度,以保持生产系统的完整性. 这使我们成为国内顶尖的渗透测试公司之一.

浏览服务传单(PDF)

外部渗透测试服务

此评估确定面向internet的系统的安全状况,并通过假设黑客的视角提供改进现有安全措施的建议. 我们使用工具和技术来演示漏洞, “从外部”执行评估,并试图在没有事先了解环境的情况下获取信息或识别弱点.

内部网络渗透测试服务

使用一种被高度重视的测试方法, agapp内部渗透测试程序识别任何特定的弱点区域,可以利用这些弱点获得未经授权的访问.  agapp过程涉及从内部网络连接到一个活动的网络端口,而不需要任何网络身份验证凭据. 这提供了从攻击者的角度分析网络的能力,攻击者已经通过某种物理利用手段获得了对您的内部网络的访问权. 通过这种方式分析网络,客户可以全面了解其私有IT环境中的安全风险. 而许多组织专注于确保他们的边界安全, 内部网络通常仍然存在未解决的弱点,这些弱点可能被获得立足点的攻击者或恶意的内部人员利用. LBMC 信息安全的方法为您提供了这些风险的清晰图像.

无线网络安全测试

无线网络已成为大多数企业网络环境的重要组成部分, 但它们有自己独特的风险,应该纳入安全评估. LBMC将评估您的无线网络的安全性, 包括渗透测试和架构设计评审, 试图访问敏感信息和/或利用无线连接访问您的专用网络环境.

社会工程

通过假冒网站发送假邮件, 假扮成试图保护敏感信息的来电者, 在办公室里丢了个u盘, 我们使用各种技术来评估您的公司对这些常见攻击技术的敏感性. 此过程有助于暴露产生漏洞的实践,并有助于确定您的人员的警惕性和意识.  我们提供的服务包括:

  • 网络钓鱼邮件-精心制作一个定制的电子邮件信息,其中包括一个链接到一个欺骗网站. 然后我们会将其发送到贵机构提供的指定邮寄列表中.
  • 手机测试-冒充IT或其他授权用户,请求凭证或致电帮助台,试图获得密码重置.
  • USB滴-在公共场所放置USB棒,让用户将其插入电脑.
  • 物理测试-评估您公司的物理安全控制,以保护您的网络和IT资产. 从背到办公室到复制身份标识,我们提供了广泛的选择.

web应用程序测试

使用不了解环境的攻击者可能会使用的工具和技术, 我们试图通过动态应用程序安全测试来获取信息,并识别可能被攻击者利用的弱点.

要做到这一点, agapp团队将通过在互联网上与您的web应用程序“交互”来评估其安全性. agapp测试范围将包括手动和自动智能模糊, 访问控制, 应用程序逻辑, 身份验证, 和会话管理. 这个手动和自动测试将使用商业和/或开源的web应用程序工具,加上agapp测试团队在搜索和利用所有行业的应用程序安全弱点方面的丰富经验来执行. 努力增加代码覆盖率,并对许多应用程序常见的特定威胁进行适当建模, agapp攻击模拟可以从两个不同的角度进行:

  1. 无法访问,模拟互联网上的任何人(未经身份验证)
  2. 基本或有限的最终用户访问(经过身份验证)

这种方法为您提供了应用程序中存在的任何安全弱点的清晰图像, 以及开发的可能性.

移动应用安全评估

移动应用安全评估的目的是通过搜索可能被攻击者利用的漏洞来评估范围内应用的安全性. 该评估将确定移动应用程序的安全状况,并提供改善其整体安全性的建议. 我们将同时考察iOS和Android版本.

LBMC 信息安全将通过我们自己的移动设备与它“交互”来评估安全性, 模拟公众对应用程序的访问. agapp测试范围将包括手动和自动智能模糊, 访问控制, 应用程序逻辑, 身份验证, 和会话管理. 这个手动和自动测试将使用商业和/或开源的web应用程序工具,加上agapp测试团队在搜索和利用所有行业的应用程序安全弱点方面的丰富经验来执行.

紫色的合作

紫色团队是一个红色团队(渗透测试)和一个蓝色团队(网络防御)之间的协调工作,共同的目标是确保组织的控制有效地和预期地工作. 通常情况下,红蓝队的努力是分开的. 红队努力进入网络,而蓝队实施控制来保护网络. 但是,如果没有紫色团队,这两个团队很少合作. 每个团队都在各自做着自己的工作,但他们各自朝着不同的目标努力. 蓝队的目标是保护网络, 红队的目标是妥协.

通过采用一个共同的目标, 团队不再只是识别漏洞并基于假设进行工作. 而不是, 他们正在实时测试控制,并模拟如果一个组织受到攻击可能发生的攻击场景类型.

agapp团队将利用其广泛的渗透测试和事件响应经验,与您的组织合作,选择适当的控件进行测试, 确定预期的结果, 然后设计相应的方法进行攻击仿真. 将测试外部边界、云环境和内部控制的安全控制.

浏览服务传单(PDF)

 

紫色的合作例子:

  • IPS / IDS功能
  • Geo-Blocking
  • 网络访问控制(NAC)
  • 侦察活动的事件/警报
  • 端点控制
  • 警告处理
  • OWA / 0365邮箱妥协
  • Ransomware
  • 密码攻击
  • C2通信
  • 特权升级
  • 横向运动
  • 出口过滤
  • 数据漏出
  • DLP

管理团队

连结到标记渗透测试服务

Mark Burnette

Shareholder-in-Charge、信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
连结到话单渗透测试服务

比尔 迪安

股东,信息安全

手机图标 电子邮件图标 诺克斯维尔
手机图标 电子邮件图标 诺克斯维尔
链接到斯图尔特渗透测试服务

斯图尔特 异常兴奋的

股东,信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔