渗透测试服务

有时候,进攻是最好的防御. 当您的组织使用LBMC 信息安全进行渗透测试时, 你会在网络攻击者之前发现防御中的漏洞. 你的渗透测试者比你的对手更能找到弱点.

LBMC 信息安全是田纳西州最大的信息安全实践之一. 我们有实际经验和证书,可以熟练地在您的网络上执行渗透测试, 系统, 以及许多遵从标准所要求的应用程序, 包括支付卡行业数据安全标准(PCI DSS). 渗透测试可能是侵入性的, 但我们经验丰富的专家知道如何列举安全漏洞, 识别并确认潜在的攻击向量, 利用漏洞, 并以保持生产系统完整性的方式确定环境对攻击的易感性. 这使我们成为国内顶尖的渗透测试公司之一.

浏览服务传单(PDF)

外部渗透测试服务

该评估确定您面向internet的系统的安全状况,并通过假设黑客的观点提供改进现有安全措施的建议. 我们使用工具和技术来演示漏洞, “从外部”进行评估,并试图在不了解环境的情况下获取信息或识别弱点.

内部网络渗透测试服务

使用一种备受推崇的测试方法, agapp内部渗透测试过程识别任何特定的弱点,可以被利用来获得未经授权的访问.  agapp过程包括从内部网络连接到活动的网络端口,而不需要任何网络身份验证凭证. 这提供了从攻击者的角度分析网络的能力,攻击者已经通过某种物理利用手段访问了您的内部网络. 通过这种方式对网络进行分析,可以让客户全面了解其私有IT环境中的安全风险. 而许多组织则专注于保护他们的周边环境, 内部网络通常仍有未解决的弱点,这些弱点可能被已获得立足点的攻击者或恶意内部人员利用. LBMC 信息安全的方法为您提供了这些风险的清晰画面.

无线网络安全测试

无线网络已经成为大多数企业网络环境的重要组成部分, 但它们有其独特的风险,应该纳入安全评估. LBMC将评估您的无线网络的安全性, 包括渗透测试和架构设计审查, 试图访问敏感信息和/或利用无线连接访问您的专用网络环境.

社会工程

通过欺骗网站发送虚假邮件, 伪装成试图获取敏感信息的来电者, 把一个u盘丢在办公室里, 我们使用各种技术来评估您的公司对这些常见攻击技术的易感性. 此过程有助于暴露造成漏洞的实践,并有助于确定您的人员的警惕性和意识.  我们提供的服务包括:

  • 网络钓鱼邮件-制作一个定制的电子邮件,包括一个链接到一个假冒网站. 然后,我们将把它发送到您的组织提供的指定邮寄名单.
  • 手机测试-冒充IT或其他授权用户,要求证书或呼叫帮助台,试图重置密码.
  • USB滴-在公共区域或设施附近放置u盘,让用户把u盘插入电脑.
  • 物理测试-评估公司的物理安全控制措施,以保护网络和IT资产. 从附带到办公室克隆ID徽章,我们提供了广泛的选择.

web应用程序测试

使用攻击者在不了解环境的情况下可能使用的工具和技术, 我们试图通过动态应用程序安全测试获取信息并识别可能被攻击者利用的弱点.

要做到这一点, agapp团队将评估您的web应用程序的安全性,通过“交互”它从互联网. agapp测试范围将包括手动和自动智能模糊, 访问控制, 应用程序逻辑, 身份验证, 和会话管理. 这种手动和自动化测试将使用商业和/或开源web应用程序工具,再加上agapp测试团队在所有行业中寻找和利用应用程序安全弱点的广泛经验. 努力增加代码覆盖率,并对许多应用程序常见的特定威胁进行适当的建模, agapp攻击模拟可以从两个不同的角度进行:

  1. 无法访问,模拟Internet上的任何人(未经身份验证)
  2. 基本或有限的最终用户访问(已验证)

这种方法为您提供了应用程序中存在的任何安全缺陷的清晰画面, 以及利用的可能性.

移动应用安全评估

移动应用安全评估的目的是通过搜索可能被攻击者利用的漏洞来评估范围内应用的安全性. 该评估将确定移动应用程序的安全态势,并为提高其整体安全性提供建议. 我们将审查iOS和Android版本.

LBMC 信息安全将通过从我们自己的移动设备与它“交互”来评估安全性, 模拟公众对应用程序的访问. agapp测试范围将包括手动和自动智能模糊, 访问控制, 应用程序逻辑, 身份验证, 和会话管理. 这种手动和自动化测试将使用商业和/或开源web应用程序工具,再加上agapp测试团队在所有行业中寻找和利用应用程序安全弱点的广泛经验.

紫色的合作

紫色团队是红色团队(渗透测试)和蓝色团队(网络防御)之间的协调工作,共同的目标是确保组织的控制有效地按照预期工作. 通常情况下,红队和蓝队的努力是分开的. 红队努力进入网络,蓝队实施控制来保护它. 但是,如果没有紫色团队,这两组人很少合作. 每个团队都在做各自的工作,但他们都朝着不同的目标努力. 蓝队的目标是保护网络, 而红队的目标就是妥协.

通过采用一个共同的目标, 团队不再只是识别漏洞并基于假设进行工作. 而不是, 他们实时测试控制,模拟组织受到攻击时可能发生的攻击类型.

agapp团队将利用其广泛的渗透测试和事件响应经验与您的组织合作,选择适当的控制进行测试, 确定预期结果, 然后设计合适的方法进行攻击仿真. 对外部边界、云环境和内部控制的安全控制也将进行测试.

浏览服务传单(PDF)

 

紫色的合作例子:

  • IPS / IDS功能
  • Geo-Blocking
  • 网络访问控制(NAC)
  • 侦察活动的事件/警报
  • 端点控制
  • 警告处理
  • OWA / 0365邮箱妥协
  • Ransomware
  • 密码攻击
  • C2通信
  • 特权升级
  • 横向运动
  • 出口过滤
  • 数据漏出
  • DLP

管理团队

链接到标记渗透测试服务

Mark Burnette

Shareholder-in-Charge、信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
连结到帐单渗透测试服务

比尔 迪安

股东,信息安全

手机图标 电子邮件图标 诺克斯维尔
手机图标 电子邮件图标 诺克斯维尔
链接到斯图尔特渗透测试服务

斯图尔特 异常兴奋的

股东,信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔