AI型/手动型安全诊断服务“RayAegis”

关于 RayAegis

RayAegis 是一个由 250 多名技术精湛的白帽黑客和安全工程师组成的全球团队，为政府机构、金融机构、大型制造商、交通运输系统和其他系统提供安全咨询服务。

RayAegis 的技术团队由技术精湛的安全工程师组成，其中包括来自美国卡内基梅隆大学、普渡大学和台湾大学电机及资讯科学系的计算机和信息安全硕士和博士学位获得者，以及拥有 CISSP、CISM 和 CEH 等各种信息安全资格的专家。

凭借多年的经验，我们深入了解黑客的方法、技术和管理方法如何共同保护贵公司的机密信息，包括防止黑客或员工非法获取这些信息。

RayAegis 的“RayScanner”和“RayInvader”结合了世界上最先进的安全和人工智能技术，使用包含与美国政府同步的专有信息的数据库，高效地检查网站和应用程序是否被黑客攻击，以及是否存在未知漏洞（例如零日漏洞），提供符合最严格国际标准的安全服务。

随着科技进步，恶意黑客如今使用更高级的程序和攻击工具来攻击企业系统并窃取数据。就攻击方法而言，与利用单一漏洞的攻击相比，多向量攻击正变得越来越普遍。这类攻击注重更有效的策略，例如根据攻击效果和具体情况组合利用多个漏洞，以及攻击整个系统中的薄弱环节。

为了应对这些不同的安全挑战，RayAegis 利用包括人工智能在内的行业领先技术，结合深厚的安全知识，提供“更简单、更快捷、更便宜、更先进”的安全评估服务计划。

诊断目标	・Web应用程序・软件・主机・操作系统/平台・移动设备・物联网设备・网络设备
诊断	・网络安全・系统拒绝服务攻击 (DoS) ・数据泄露・身份验证管理・数据库安全・其他定制诊断项目
诊断工具	・针对每个阶段使用超过 50 种不同的工具・各种通用工具的专有自动化插件・安全工程师的手动诊断测试・专有 AI 工具“RayScanner”和“RayInvader”
国际标准	・NIST SP800-115 ・OWASP TOP10 ・OWASP IoT TOP10 ・OSSTMM ・PCI DSS 合规性

这两项服务的提供方式与其他公司不同，采用基于子域名（FQDN）的简单定价结构，无论页面或请求数量多少，都使其成为极具成本效益的服务。

	AI快速工具漏洞评估	AI远程漏洞诊断	渗透测试	移动应用诊断
特征	使用各种专有工具进行高级自动化漏洞评估	使用各种专有工具进行高级和全面的漏洞评估	利用人工智能工具自动生成漏洞利用程序并结合零日攻击的高级渗透测试（包括漏洞评估）	高速工具诊断，用于诊断单个移动应用程序包（API 诊断选项支持服务器端身份验证和授权系统）
诊断目标	平台 + Web 应用程序		Web应用程序、企业内部网等。	移动应用和应用连接 API
诊断项目	45件	68 件至 99 件	100件	OWASP TOP10 移动风险标准
诊断方法	远程诊断，包括人工智能工具	人工智能工具 + 安全工程师的手动远程诊断		使用人工智能工具进行软件包诊断（API诊断包含人工诊断）
诊断期	1 个工作日	3至5个工作日	1至3周	应用内：1 个工作日； API：3 至 5 个工作日
定价	按子域名/FQDN 固定收费（渗透测试按 IP/主机收费，Web 服务器除外）			每个应用包/API服务器的固定费率
报告格式	安全工程师审核的报告	安全工程师审核报告 + 情况汇报会议		安全工程师审核的报告
售后支持	包括重新诊断（在初次诊断后一个月内）	重新诊断（自初次诊断之日起 3 个月内）	・详细维修流程问答・包含重新诊断（自首次诊断之日起一年内）	・应用重新评估：可选・API重新评估：包含在选项中

每项安全评估服务都基于符合 OWASP 等标准的测试项目进行评估。主要诊断测试项目如下：

主要检查项目	测试项目概述
信息收集	收集平台信息，例如目标环境中的每个服务器应用程序。
设置和配置管理检查	与允许的方法以及网络和应用程序配置相关的漏洞
身份管理考试	与账户管理相关的漏洞，例如用户注册和角色设置。
身份验证检查	与身份验证相关的漏洞，例如身份验证信息的安全传输和密码策略
检查授权	与授权绕过等相关的漏洞
会话管理检查	诸如绕过会话管理机制之类的漏洞
数据验证检查	数据验证漏洞，例如 SQL 注入和跨站脚本攻击
错误控制检查	与错误处理相关的漏洞，例如返回的错误代码
加密检查	诸如加密不良和填充预言机攻击等漏洞
业务逻辑检查	与业务逻辑（例如应用程序流程）相关的漏洞
客户端检查	客户端漏洞，例如 HTML 和 CSS 注入以及 JavaScript 异常