想知道網(wǎng)站是否安全 不妨雇阿里云云盾團(tuán)隊(duì)親測(cè)

6月2日，阿里云正式面向全行業(yè)推出“云盾滲透測(cè)試服務(wù)”。該服務(wù)以模擬攻擊者的角度幫助企業(yè)尋找網(wǎng)站系統(tǒng)存在的風(fēng)險(xiǎn)，并提供針對(duì)性的解決方案，從而保障網(wǎng)絡(luò)服務(wù)的安全穩(wěn)定運(yùn)行，降低事后修復(fù)的成本(包括資產(chǎn)、名譽(yù)等方面)。滲透測(cè)試是當(dāng)前業(yè)內(nèi)最有效的安全檢測(cè)服務(wù)之一。

阿里云具有國(guó)內(nèi)一流的安全防護(hù)團(tuán)隊(duì)，一直通過云盾保障阿里云客戶的安全。推出“云盾滲透測(cè)試服務(wù)”是阿里云進(jìn)一步對(duì)外分享安全能力的開始。

近年來系統(tǒng)被入侵的案例層出不窮，安全已經(jīng)成為影響企業(yè)發(fā)展的重大威脅之一。據(jù)CNCERT新近發(fā)布的《2014中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》，CNVD(國(guó)家信息安全漏洞共享平臺(tái))數(shù)據(jù)表明，2014年收錄并發(fā)布各類安全漏洞數(shù)量達(dá)9163個(gè)，較2013年增長(zhǎng)16.7%。

企業(yè)難以有效防護(hù)的原因之一在于，首先企業(yè)通常不具備完整的安全能力，其次防護(hù)措施往往是通用的，并非基于自身的弱點(diǎn)進(jìn)行針對(duì)性的防護(hù)。而更為深層的問題是，企業(yè)用戶通常只有在系統(tǒng)被入侵之后，通過事后分析、審計(jì)、溯源等手段才發(fā)現(xiàn)問題所在。

提前預(yù)知自身系統(tǒng)存在的風(fēng)險(xiǎn)成為業(yè)內(nèi)追求的方向。阿里云云盾滲透測(cè)試服務(wù)則多維度、可定制的深入挖掘漏洞并提供修復(fù)方案，可以“比黑客更早發(fā)現(xiàn)業(yè)務(wù)和系統(tǒng)的重大隱患。”。

滲透測(cè)試服務(wù)包括對(duì)應(yīng)用漏洞、服務(wù)器與網(wǎng)絡(luò)弱點(diǎn)、安全意識(shí)隱患等進(jìn)行針對(duì)性探測(cè)，并最終以專業(yè)的服務(wù)報(bào)告及可靠的修復(fù)方案提交。滲透測(cè)試往往可以發(fā)現(xiàn)較其他非滲透手段更為深入、準(zhǔn)確和隱蔽的系統(tǒng)風(fēng)險(xiǎn)。

“阿里云云盾團(tuán)隊(duì)幫我們找到了30多個(gè)漏洞，其中有幾個(gè)可以直接導(dǎo)致我們網(wǎng)站崩潰。隨后我們進(jìn)行了修復(fù)。”一位參加內(nèi)測(cè)的公司負(fù)責(zé)人表示，這相當(dāng)于給網(wǎng)站做周期性的“體檢”。

“從滲透測(cè)試結(jié)果來看，95%的網(wǎng)站都存在較大漏洞。盡管這些網(wǎng)站都采取了貌似完善的防護(hù)措施”，云盾滲透測(cè)試團(tuán)隊(duì)負(fù)責(zé)人尹毅表示，“對(duì)互聯(lián)網(wǎng)企業(yè)的滲透成功率也很高，特別是電商和金融機(jī)構(gòu)”。

據(jù)了解，阿里云云盾滲透測(cè)試服務(wù)團(tuán)隊(duì)已經(jīng)為30多家銀行、100多家互聯(lián)網(wǎng)企業(yè)以及阿里巴巴集團(tuán)內(nèi)30多個(gè)事業(yè)部提供滲透測(cè)試服務(wù)。

作為阿里巴巴集團(tuán)安全研究實(shí)驗(yàn)室的一部分，該團(tuán)隊(duì)集中了包括智能設(shè)備安全、人機(jī)識(shí)別、漏洞挖掘、移動(dòng)設(shè)備安全等領(lǐng)域的國(guó)內(nèi)頂尖安全專家。與此同時(shí)，云盾滲透測(cè)試服務(wù)團(tuán)隊(duì)依托阿里云大數(shù)據(jù)平臺(tái)對(duì)全球網(wǎng)絡(luò)空間聚合系統(tǒng)進(jìn)行關(guān)聯(lián)計(jì)算，可以在第一時(shí)間獲得安全威脅情報(bào)及分析數(shù)據(jù)。阿里巴巴在反黑領(lǐng)域的經(jīng)驗(yàn)也成為優(yōu)勢(shì)，該團(tuán)隊(duì)多次反跟蹤黑客入侵，協(xié)助公安破案，并獲得公安廳的一等獎(jiǎng)。

“滲透測(cè)試服務(wù)之前我們將簽訂保密協(xié)議，由阿里巴巴集團(tuán)安全部正式員工參與測(cè)試，并對(duì)報(bào)告結(jié)果保密。”阿里云云盾滲透測(cè)試服務(wù)產(chǎn)品經(jīng)理崔一山表示，目前客戶還包括了政府機(jī)構(gòu)。

安全日益成為互聯(lián)網(wǎng)面臨的挑戰(zhàn)之一，在KPCB“互聯(lián)網(wǎng)女皇”最新發(fā)布《2015年全球互聯(lián)網(wǎng)趨勢(shì)報(bào)告》中表示，在69%的安全事件中，受害者不是自己發(fā)現(xiàn)被攻擊，而是由第三方告知。凸顯了第三方安全服務(wù)的重要性。