案例研究
这些公司投资了SOC 2、ISO 27001和GDPR合规。他们通过了审计。但当我们检查他们公开可访问的攻击面 — 客户端代码、公开API和开放端点 — 时,我们在每一家都发现了严重的暴露。
公司名称已匿名化。所有发现来自公开可访问的信息 — 客户端代码、公开API端点和开放配置。没有系统被入侵。
合规认证验证流程是否存在。我们验证攻击者是否能进入。这是不同的。