移动运营商

背景

• 移动网络Operator，评估现有的安全到位的做法，IT业务外包给全球IT基础设施供应商。
• 部署安全漏洞扫描，修补系统和应用程序 的安全做法。

试验目标

1. 确定成熟的安全态势方面的现行做法
2. 确定目前的安全基础设施的弹性对最新的威胁
3. 基准电流外包IT信息和通信技术提供商的能力，包括实时安全管理

评估意见

• 内部IP地址找 到的计划，管理员登陆ID和Web服务器（密码可以在Google链接）
• 跨站点脚本错误 可能允许未经授权的访问到后端应用程序和数据库
• Web服务器和数据库应用程序当前没有补丁更新

最终结果

1. 查明修 补的差距，编码和评估程序
2. 确定空间与现有外包商更紧密整合
3. 更严格封锁的网络应用程序，无意中暴露的机密数据

金融服务机构

背景

• 主要金融机构与 零售，在亚太地区的公司和金融服务业务
• 建立安全业务的内部，支持外包IT应用和安全 管理服务供应商
• 符合全球安全标 准，但也需要遵守当地的金融管理局科技风险评估服务，定期安全管理准则

目标

1. 确定安全态势方面于地方法规遵从指南
2. 确定目前的安全 基础设施的弹性对最新的威胁和黑客攻击
3. 基准电流外包供应商管理服务供应商对最佳实践 做法

评估与测试观察

• 能进入网上 银行成功应用的资金转移到第三方欺诈的帐户所
• 由于缺乏安全日志中的应用，应用程序管理删 除了上述活动日志
• 通过交叉管理，删除网站的欺诈性交易数据库记录脚本错误

最总结果

1. 需要更新于目前的安全做法
2. 查明在供应商选择标准的差距，安全的编码实践和应用安全评估的做法