新思科技提供多种深度的渗透测试评估,客户可以根据每个测试应用的风险状况调整测试级别。新思科技专业团队除了提供基本服务之外,还会投入时间和精力去探索业务逻辑测试,该测试能够检测未纳入固定清单或其它未予考虑的攻击(例如,业务逻辑数据验证和完整性检查)。新思科技为全球许多企业按需提供渗透测试服务,MATESO是其中一家。
MATESO背景介绍
MATESO是一家德国创新公司,提供高级解决方案和Password Safe密码安全管理器,用于安全地管理身份、密码和文档。全球许多公司都使用MATESO的密码安全解决方案来保护其数据和系统,包括法兰克福证券交易所30大德国公司中的20家。
MATESO总经理Thomas Malchar意识到企业级密码管理的必要性,因此开发了一套完整的企业密码管理解决方案,方便企业更容易且安全地访问敏感数据,从而在确保安全性同时提升了员工效率。
包括渗透测试在内的定期第三方外部审核加强了MATESO的高安全标准,以识别和解决安全漏洞。
挑战:需要来自值得信赖的合作伙伴的严格安全测试
MATESO首席技术官兼网络安全宣传师Sascha Martens指出:“对我们而言,安全不仅仅是一种可选项。这是对客户的承诺,我们每天都在尽力兑现这一承诺。”
为了确保其旗舰产品Password Safe解决方案的持续安全性,MATESO希望与一家世界级的应用安全公司合作,该公司的评估需要获得MATESO及其客户信赖。新思科技(Synopsys)在2020年Gartner魔力象限应用安全测试中被评为领导者,帮助全球企业管理软件安全和代码质量风险。经过多方考量,MATESO选择与新思科技合作。
Sascha Martens介绍道:“我们最新版本的Password Safe加入许多新功能。Web应用客户端及胖客户端都可以进行严格测试,以最大程度地为客户降低风险,这点很重要。我们的目标是发现并消除漏洞,接收详细报告及按需获得可行的补救指南。新思科技拥有广泛、深入的应用安全测试经验和我们所需的专业知识。”
解决方案:新思科技专业的渗透测试服务
渗透测试是对计算机系统执行的授权模拟攻击,以评估其安全性。渗透测试人员使用与攻击者相同的工具、技术和流程来发现和演示系统漏洞对业务的影响。
渗透测试通常会模拟可能威胁业务的各种不同攻击。渗透测试可以检查系统是否足够强大以抵抗来自经过身份验证和未经身份验证的位置以及一系列的系统攻击。在正确的范围内,渗透测试可以深入到系统的任何方面。
新思科技渗透测试专业服务使MATESO等公司能够根据其当前需求来定制评估,以系统地发现并消除其正在运行的应用程序中潜在的关键业务漏洞。新思科技顾问使用各种测试工具和专门针对漏洞的深入手动测试。客户可以从多个级别的渗透测试评估中进行选择,以便根据每个应用程序的风险状况获得他们所需的真实测试。
成效:提供详尽的分析,为MATESO呈现可行的建议
Sascha Martens指出:“新思科技发现,我们对Password Safe的安全控制可以有效抵抗常见的攻击模式,例如输入验证攻击和违反保密规定行为。渗透测试过程的结构和规划非常合理。在测试之前和测试期间,我们和新思科技保持沟通并及时做出响应。新思科技向MATESO持续反馈最新进展。通过对我们的应用环境进行全面的范围界定和详细的准备工作,新思科技能够在大约两周半的时间内提交报告。”
Sascha Martens总结说:“该报告的好处之一是行动建议,新思科技与我们团队在后续会议中就此进行详细讨论。新思科技顾问的专业素养、工作精神和方法给我们留下深刻印象。新思科技绝对是MATESO以后需要进一步渗透测试时的候选合作伙伴。”