Metasploit专业版
恶意攻击者正在测试您组织的防护能力。一旦他们进入您的网络,他们一般总是在您的网络中进行数月的数 据搜集或其他恶意活动。使用Metasploit专业版模拟可控的攻击测试您网络的防护能力,您可以领先于恶意 攻击者采取必要的动作。Metasploit专业版通过管理您的数据和安全的自动攻击、验证由Nexpose发现的漏洞 大大减少您在渗透测试工作量,并且可以帮助您对补救工作进行优先级划分;通过模拟钓鱼攻击可以管理您 组织里用户的安全意识,减少遭受APT攻击的风险。
渗透测试:领先于别人之前测试您组织的防护能力
IT安全部门几乎花费他们所有时间用来建设和维护防护系统来保护他们的数据。往往只有企业单位被攻击了 他们才会发现哪里是他们的真正弱点。
渗透测试通过模拟现实世界的真实攻击来识别您防护能力的弱点。Metasploit专业版帮助您进行渗透测试,例如使用渗透模块、密码审计、攻击Web应用、发送钓鱼邮件等。
为什么Metasploit是渗透测试工具
- 渗透测试的事实标准: Metasloit专业版基于拥有20万用户和贡献者的Metasploit项目,这也就使Metasploit成了渗透测试的事实标准。安全研究者们新开发的渗透攻击方法经常会写成一个Metasploit 的模块,因此Metaploit用户立即可以使用这些模块。Metasploit的攻击方法和载荷都通过实验室和真 实环境的测试验证。
- Windows,Red Hat,Ubuntu,Kali Linux:选择您喜欢的平台进行渗透测试,不要把您自己限制于Windows机器。在Kali Linux上可以把来自其他工具的输出导入到Metasploit的数据库.。
- 灵活、开放平台:您可以编写您自己的攻击代码和模块,然后把它们导入到Metasploit专业版,从而进行适合您自己环境的渗透测试。
- 高扩展性:在一个项目中可以评估多达1万台主机的安全性。
- 安全控制测试:使用Metasploit的MetaModules测试您的安全控制的有效性,这些功能模块可以大大简 化复杂的任务例如密码测试或防火墙出口测试。
- 友好授权:安装次数和测试IP数量都没有限制。例如,你可以在笔记本上安装也可以部署在云里。
- 可自由选择Web界面或命令行: Metasploit专业版提供一个友好的命令行界面和一个高级的命令行接口——“Pro Console”选择您喜欢的界面或者在它们之间进行自由切换。
漏洞验证:了解哪些漏洞带来真正的风险
漏洞扫描器可以扫描安装的软件以及所存在的漏洞,但它并不能确定这些漏洞是否会给您特定的网络环境带来真正的风险。这可能
会比较危险或没有作用因为IT部门需要在相同优先级的情况下修补所有漏洞
Metasploit专业版简化和加快漏洞验证,对漏洞验证过程进行逐步指导。结果可以返回给Nexpose,Nexpose可以利用这些结果生成报告,并对漏洞进行等级划分后 生成非常详细的补救计划。
为什么Metasploit是漏洞验证的解决方案:
- 全球唯一的闭环解决方案: 只有Rapid7提供闭环的漏洞验证,返回的成功验证信息和漏洞例外可在漏洞管理系统中进行报告生成、补救计划生成、趋势分析。
- 抓取现有的扫描数据:不同于其他解决方案需要手工的XML导入导出漏洞数据,Metasploit专业版可以直接从Nexpose中抓取现有的扫描数据。
- Metaploit专业版是Rapid7的产品:拥有20万用户和贡献者的全球知名的公开的高质量攻击测试开源 项目Metasploit是Rapid7公司的。
安全意识管理:测试用户的钓鱼漏洞
用户往往是安全链中的薄弱环节,会导致组织暴露于攻击之中。近年来钓鱼攻击越来越多。.一些组织已经指导终端用户进行培训但
发现确定确定他们的用户是如何真正被攻击利用的以及哪些用户带来的风险却比 较困难。
Metasploit专业版通过模拟钓鱼攻击可衡量安全意识培训的效率。UserInsight提供磁于用户风险的更多功能
为什么Metasploit是管理钓鱼风险的解决方案
- 衡量整体用户意识和交付培训的唯一渗透测试解决方案: 不同于其它渗透测试解决方案,Metasploit 专业版社交工程报告在测试过程中每一步都提供转 换率。只有Metasploit在社交工程测试过程中每一 步都针对如何定位风险提供建议。当用户采取了一 个危险动作时,他们会被重定向到一个培训站点。
- 独一无二的、用户风险高度可见:通过Metasploit专业版和UserInsight的集成,安全分析师可以全面了解一个用户的帐戾、网络活动、云服务、移动设 备以及被钓鱼的风险,把散布在整个系统中的信息统一起来。
- 唯一可以测试您技术管控的模拟钓鱼解决方案:一些模拟钓鱼服务仅仅可以衡量用户的意识,Metasploit 专业版还可以衡量技术管控的有效性。如果需要,钓鱼Web页面或邮件附件可包含测试补丁级别、安 全配置和基于网络的防护的攻击。
核心价值
渗透测试
- 找出安全问题,把防护能力发挥到模仿恶意攻击者的技术
- 通过数据管理和自动化使用更少的时间实现安全承诺
- 为新的团队成员减少培训时间
- 使用高级攻击方法,例如level-2 VPN跳板和防病毒系统&IPS绕过
- 通过默认使用安全的攻击载荷减少人为错误 的风险
- 弱口令和共享密码检查
- Web应用OWASPTop 10攻击审计
- 生成供内部使用的报告帮助实现PCI和FISMA合规
- 渗透测试团队合作
- 获得企业级的支持
漏洞验证
- 通过仅补救真实的漏洞减少成本
- 通过了解哪个漏洞可以造成高风险并在第一 时间定位他们来改善安全状态
- 通过减少误判增加IT运营的可信性
- 集成Nexpose和其他漏洞管理系统
安全意识管理
- 衡量用户的整体风险意识和培训效果
- 实现按需用户意识培训
- 使用现实世界的攻击技术测试技术管控
- 可集成我们的Userinsight产品提供和用户风险相关的更多功能
关于Rapid7
Rapid7的安全解决方案可提供您需要的可
见性和洞察力,以帮助您制定明智的决策、 制定可靠的行动计划和监控进展。这些解决 方案独辟蹊径地将环境威胁分析与跨用户、 资产、服务和网络(无论是否基于实体、移 动或云)的快速综合数据收集相结合,简化 了您的风险管理步骤。Rapid7简单且创新 的解决方案已在超过65个国家或地区的2,500 多家企业和政府机构中使用,公司的 免费产品每年还在其开放资源安全社区内通 过二十多万会员下载超过一百万次。