一、概述

恒天安全工程团队(SEG)专注于为国内外客户提供Web系统安全评估、高级渗透测试、紧急安全响应、企业安全管理咨询等服务以及入侵检测系统等产品。团队依托浙大网新、美国道富银行和浙江大学,是为国内外各类系统提供优质安全工程服务的领先者。

二、优势

恒天安全工程团队(SEG)专业化,可靠性强,能够提供包含普通漏洞、系统漏洞、业务逻辑漏洞、权限漏洞等一系列的漏洞修补方案。

seg001 1

三、主要功能介绍

seg002 2

  1. Web系统安全评估:依据权威的OWASP Web安全审计文档,以自动化安全审计工具为主,辅以人工查找,给出详细的安全审计报告,并提出针对性的修改方案。
  2. 高级渗透测试:模拟黑客对系统进行全面的渗透攻击,利用社会工程学等力求覆盖系统各个层面漏洞。
  3. 紧急安全响应:对公司的安全事故及时作出响应,在减少损失的情况下,最大可能找出入侵者痕迹。
  4. 恒天入侵检测系统:实时防护公司系统,检测各种入侵攻击,记录所有异常行为,及时发出警告通知。
  5. 企业安全管理咨询服务:依据国际信息安全标准ISO27001,为企业提供信息安全咨询和培训服务。帮助企业建立自己的安全制度,从制度上着手提高企业员工的安全意识。

 

四、典型案例

1.帮助某金融交易平台发现多项高危漏洞:该金融交易平台是全国首家由政府金融主管部门监管的普惠金融交易场所。该项目对安全性要求高,项目持续时间长,安全项目组按照审计方案对其进行了安全审计工作,发现多项高危漏洞如下:

seg003 3

2.帮助某烟草公司系统发现多项高危风险:该公司是烟草行业中的龙头企业。为了验证该公司的新电商系统的服务环境是否具备基本的安全性以及防御能力,委托恒天对该系统的服务器部署环境进行了一次多方面的渗透测试,发现多项高危漏洞如暴力破解获取上千名用户权限以及12名管理员权限等:

seg004 4

(影响评分:根据cvess对漏洞进行评分,分数越高漏洞越严重)

3.解决某软件公司的恶意勒索攻击事件:某软件公司程序员的电脑中所有java文件,均被恶意加密为后缀名为.zepto的不可执行文件,且源代码文件未备份,只有向攻击者指定的账户内转去指定的赎金才可以获取解密密码,重获源代码文件。针对此次恶意勒索攻击事件,恒天团队在极短的时间内限制住病毒的传播;其次,通过编写测试脚本,确定整个公司受害者的数量,并及时加以控制;接着,追根溯源、寻找证据,确定勒索病毒的来源、发生原因以及传播过程;最后,制定规范,提醒所有公司员工对安全的重视,防止类似威胁的二次发生。

下载

联系我们
中国 0571-88270208 美国 +1-857-239-9658