Prophet (Security Public Testing) é uma plataforma que ajuda as empresas a estabelecer centros privados de resposta a emergências (ajudando as empresas a coletar informações sobre vulnerabilidades). Depois que as empresas aderem à plataforma Prophet (Teste Público de Segurança), elas podem lançar planos de recompensa de forma independente para incentivar os especialistas em segurança na plataforma Prophet a testar e enviar vulnerabilidades no próprio site ou sistema de negócios da empresa para garantir que os riscos de segurança possam ser respondidos rapidamente e reparado para evitar maiores consequências de segurança.

O serviço Profeta (testes públicos de segurança) visa estabelecer um centro de resposta a emergências de segurança eficiente e completo (Centro de Resposta de Segurança) para empresas. Ao ingressar na plataforma Prophet (Security Public Testing), as empresas podem usar os muitos chapéus brancos confiáveis ​​e de alta qualidade da plataforma Prophet para descobrir prontamente problemas de segurança em seus negócios existentes, incluindo vulnerabilidades de lógica de negócios, problemas de permissão e outras vulnerabilidades que não podem ser detectadas com eficácia. por ferramentas de segurança, etc., o mais rápido possível. A descoberta de vulnerabilidades existentes pode efetivamente reduzir possíveis perdas para a empresa. Além disso, à medida que o negócio continua a se desenvolver, os problemas de segurança em novos serviços podem ser descobertos em tempo hábil por meio de testes de segurança contínuos de chapéu branco. A Plataforma Profeta manterá estritamente a confidencialidade das vulnerabilidades de todas as empresas registradas, evitando assim que as vulnerabilidades sejam divulgadas de forma maliciosa.

Personalize seu próprio plano de recompensa

Coleta de vulnerabilidades

Auditoria de vulnerabilidade gratuita

Ajudar com correções de bugs

Conteúdo do serviço Classificação de serviço Descrição do Serviço Área de serviço Entregáveis ​​de serviço Teste do sistema de aplicativos Teste básico de lógica de negócios Com uma mentalidade de invasor (hacker), o Alibaba Cloud realiza testes de segurança abrangentes e aprofundados de sistemas de negócios, ajuda os clientes a identificar falhas e vulnerabilidades de segurança ocultas em processos comerciais normais e fornece sugestões de reparo para ajudar os clientes a descobrir problemas de segurança antes dos invasores (hackers). . Riscos e solução de problemas de segurança. Ativos de intranet e extranet "Relatório de teste de vulnerabilidade" "Opiniões de reparo e relatório de novo teste" Teste de vulnerabilidade OWASP TOP 10 Teste de componentes de terceiros Teste de autenticação de permissão Teste de configuração de segurança testes de processos de negócios Teste de aplicativos móveis Teste de cliente: Teste do pacote de instalação Teste de segurança de transmissão de dados Teste de segurança de componentes Teste de aprimoramento de segurança Teste de segurança de atualização de aplicativos Para aplicativos móveis, os clientes precisam considerar a segurança do cliente e do servidor. Alibaba Cloud cobre totalmente todo o ciclo de vida de segurança do aplicativo e realiza testes aprofundados de reforço de segurança e conformidade de dados. Teste do lado do servidor: Teste de segurança do sistema de conta Testes básicos de segurança empresarial Teste de proteção de código Teste adversário de proteção dinâmica

Conteúdo do serviço Classificação de serviço Descrição do Serviço Área de serviço Entregáveis ​​de serviço Serviços de pesquisa e avaliação do estado de segurança da rede Classificação de ativos Alibaba Cloud conduz um inventário abrangente dos ativos dos clientes expostos às redes internas e externas e investiga todas as portas e serviços detectados expostos à rede externa. Alibaba Cloud classifica o site, sistema e plataforma do cliente, identifica as unidades responsáveis ​​e pessoas responsáveis ​​específicas pelo site e sistema e forma uma lista detalhada. Ativos de rede externa e ativos de intranet "Lista de ativos abertos da Internet" "Lista de ativos do sistema de aplicativos" Triagem de risco de ativos Alibaba Cloud usa uma combinação de ferramentas especiais e trabalho manual para realizar um inventário abrangente dos ativos da intranet do cliente e realiza varredura de vulnerabilidades, inspeção de senha fraca, inspeção de rastreamento de intrusão, verificação de porta aberta e sistema inútil e limpeza de conta com base no cliente. lista de ativos existente. Aguardando trabalho. Ativos da intranet "Relatório de verificação de vulnerabilidades" "Relatório de verificação de senha fraca" "Relatório de inspeção de segurança do host" Auxiliar na remediação de riscos de ativos Alibaba Cloud auxilia os clientes na classificação dos resultados das inspeções de ativos da intranet, fornece aconselhamento profissional sobre a prioridade dos reparos de vulnerabilidades e fornece orientação e sugestões sobre reparos de vulnerabilidades. "Sugestões para correção de vulnerabilidades" Teste de penetração Alibaba Cloud baseia-se em técnicas e técnicas de ataque de hackers para penetrar nos ativos de rede externos dos clientes através de vários métodos e ângulos dentro de uma faixa controlável para descobrir vulnerabilidades ao máximo, para que a defesa da rede possa operar normalmente de acordo com o plano predeterminado. Ativos da extranet "XX Relatório de Avaliação de Teste de Penetração do Sistema" Análise de segurança de arquitetura de rede O Alibaba Cloud analisa o status atual da capacidade de segurança da arquitetura de rede atual do cliente, bem como a direção do fluxo dos principais fluxos de negócios, etc., para facilitar a suplementação, monitoramento, análise e resolução subsequentes de deficiências de capacidade de segurança. nenhum "Relatório de análise de segurança de arquitetura de rede" Avaliação de conscientização de segurança A fim de testar a eficácia do treinamento de conscientização de segurança dos clientes e fortalecer o reconhecimento da conscientização de segurança, o Alibaba Cloud precisa realizar uma avaliação de conscientização de segurança de rede. Alibaba Cloud usa métodos simulados de engenharia social, como phishing de e-mail, fraude de telecomunicações, falsificação de identidade e visitas a escritórios para realizar avaliações de conscientização de segurança. nenhum "Relatório de Avaliação de Conscientização sobre Segurança" Serviço de treinamento de combate real de confronto vermelho e azul Organização de exercícios de confronto vermelho e azul Alibaba Cloud auxilia os clientes na coordenação de planos, planos e várias tarefas para exercícios ofensivos e defensivos reais contra o vermelho e o azul. Após o exercício, Alibaba Cloud classificou as ideias de ataque, caminhos de resultados e métodos de ataque do exército azul durante o exercício, bem como os eventos de ataque, características de ataque, Trojans e medidas de tratamento de incidentes detectadas durante o processo de defesa coordenado do exército vermelho; resumiu a experiência real de combate com base nos resultados do confronto vermelho e azul, analisou as deficiências nas capacidades de proteção e nos sistemas de segurança e discutiu soluções implementáveis ​​​​para ajudar os clientes a corrigir e reforçar os problemas descobertos; nenhum "Relatório de Revisão do Exercício de Confronto Vermelho-Azul" "Relatório da Fase de Exercício de Confronto Vermelho-Azul" "Toda a rede e todos os ativos portuários" Serviços da Equipe Azul (Equipe de Ataque) A equipe de ataque de segurança do Alibaba Cloud realizará invasões de rede de acordo com os padrões de ataque e defesa, encontrará caminhos de ataque e obterá informações importantes do sistema alvo (incluindo, entre outros, informações de ativos, dados comerciais importantes, código ou contas de administrador, etc.), e descobrir vulnerabilidades de segurança e perigos ocultos, e explorar as capacidades de proteção de segurança do cliente; após o exercício, os registros devem ser mantidos, os resultados organizados e os vestígios de ataques devem ser limpos. nenhum "Relatório de Ataque do Exército Azul e Confronto Vermelho e Azul" Serviço do Exército Vermelho (assistente de defesa) Com base no escopo de ativos do exercício, a Alibaba Cloud despachou um engenheiro para auxiliar o cliente no monitoramento de ataques e resposta a emergências, monitorar o comportamento do ataque em tempo real, descobrir eventos de intrusão, analisar e lidar com eventos e garantir a operação segura e suave de o sistema de negócios; verificar vários se o mecanismo de coordenação de segurança e o mecanismo de resposta a emergências podem operar normalmente ajudará os clientes na análise e otimização. nenhum “Confronto Vermelho e Azul – Trabalho Diário de Assistência e Defesa”

Os chapéus brancos referem-se a especialistas em segurança que participam do processo de envio de vulnerabilidades por meio da plataforma Prophet. Os chapéus brancos podem identificar vulnerabilidades de segurança em sistemas de computador ou sistemas de rede, mas não as utilizarão de forma maliciosa. Em vez disso, reportarão as vulnerabilidades para ajudar as empresas a corrigi-las antes que sejam exploradas maliciosamente por terceiros e a manter a segurança do computador e da Internet.

Os chapéus brancos podem obter o título de profeta enviando vulnerabilidades, e o nível do profeta é determinado com base nos pontos obtidos, então você pode ver termos como "Profeta de nível 4" e "Profeta de nível 5".

As empresas que aderirem à plataforma Prophet (Security Public Testing) podem estabelecer um plano de recompensa, ou seja, as vulnerabilidades de alto, médio e baixo risco da empresa exibirão os valores da recompensa para o mundo exterior, respectivamente. a plataforma do Profeta também decidirá quanto dinheiro distribuir aos chapéus brancos com base nesse valor de recompensa.

Vulnerabilidades de alto, médio e baixo risco correspondem a uma faixa fixa de valores de contribuição. As empresas que aderem à plataforma Prophet (Security Public Testing) só precisam definir um coeficiente de recompensa. Por exemplo, se o valor básico da contribuição de uma vulnerabilidade de alto risco for de 60 a 80 pontos e a empresa definir o coeficiente de recompensa como 10, então o valor final do programa de recompensa por vulnerabilidade de alto risco variará de 600 a 800 yuans.