科技逐步改变了人们的生活方式,新技术在改善生活环境的同时,网络、业务系统以及终端安全问题也随之而来,世界移动通信大会(MWCS)报告显示,国内仅中国移动现网用户已经超过8亿,运营商作为基础IT技术应用的提供者,保障基础服务交付的安全性和持续性面临严峻挑战。

业务场景

运营商服务场景

数字化时代,越来越多的场景都离不开运营商的基础服务,可以说运营商无处不在,常见的通话、短信、宽带服务以及各种手机APP的正常使用都要依赖于运营商的基础数据网络。此外,作为运营商与用户沟通的快捷通道,运营商网上营业厅、门户网站、业务相关手机APP等服务也逐渐融入日常生活。

运营商面临风险

随着运营商业务的发展,Web架构越来越复杂,对其安全防护的难度越来越大,由于Web应用的开放性,使其成为最佳的攻击目标。业务服务器被控制、Web服务中断、客户信息被窃取、业务欺诈的事件时有发生,XSS、CSRF、Cookie窃取等攻击导致合法用户的客户端被控制、信息被窃取等事件严重干扰了用户体验,造成恶劣影响。

执行实名认证业务以来,运营商掌握大量用户敏感信息,业务相关Web网站一旦受到侵害将直接影响运营商的品牌形象以及日常业务运营。以运营商网络营业厅为例,登录认证密码强度合规性太弱,只由6位数字组成,部分网站内容采用http传输,存在传输内容被第三方获取等风险,相关脆弱性被利用后,用户个人信息面临泄露风险。

以运营商业务分类来看:

WEB类服务隐患:注入类漏洞、跨站脚本攻击、暴力破解、文件越权上传或下载、目录遍历、身份认证授权缺失、数据输入或输出验证、不安全配置等

手机APP服务隐患:不安全数据存储、逆向分析、不安全加密传输、界面劫持、登录凭证窃取等。

解决方案 多角度审视运营商安全现状,提供针对性安全服务,帮助运营商建立更安全的业务承载环境。

1、平台优势

漏洞盒子平台提供自有安全团队与可信众测相结合的服务模式,企业可根据自身特性自由选择。平台的安全专家来自国内知名企业,并长期奋斗在安全一线,丰富的实战经验保证测试服务的输出质量;在线注册签约白帽子3w余名,核心白帽子5k余名;与国内优秀测试团队保持长期合作关系。

2、 安全测试

漏洞盒子平台安全团队通过系统的分析及专业的渗透技术保证运营商业务产品在应用领域的安全性。服务范围包括但不限于OWASP TOP10、CWE TOP25、用户名枚举、账户锁定、已知默认的凭证、弱密码、不安全数据存储、传输层加密等。

3、安全攻防演练

定期对运营商关键业务环境进行攻防演练,从而帮助客户了解当前业务场景的安全现状,让客户技术人员了解并掌握安全漏洞的成因、漏洞利用、漏洞的防御方法,提升企业安全防护能力,提高企业安全建设水平。

4、安全培训

提供WEB和APP安全漏洞分析、安全防护方法、安全开发、业务逻辑漏洞分析和防御、SDL体系构建等培训服务,从安全培训开始,加强运营商开发人员的安全意识,从根源上减少安全漏洞。

5、安全通告

第一时间推送最新0day漏洞通告、重大安全事件通告、运营商自身安全漏洞通告。

6、安全巡检

提供客制化定期安全巡检服务,使运营商定期了解自身安全现状。

7、安全外包

针对运营商庞大的业务量,内部安全人员的工作任务应接不暇,漏洞盒子承接安全外包服务,协助运营商高效处理业务安全事务,保障业务稳定交付。

8、全网监测扫描

针对运营商设备数量庞大的特性,提供全网监测扫描服务,支持系统漏洞检查、业务资产发现、Web漏洞扫描、弱密码扫描、全网敏感信息侦查等功能,提供资产管理等管理功能,实时了解资产信息,感知资产变化。

9、有效的风控机制

建立统一的渗透测试流程;与企业确认测试边界,签订保密协议;VPN、堡垒机进行流量控制;测试人员实名制等。

10、透明、高效的管理

企业入驻漏洞盒子平台后,通过项目管理平台,企业用户可以实时查看测试动态,掌握第一手测试情报。