“漏洞扫描”和“渗透测试”的相爱相杀!
随着IT安全产业的迅速发展,大量新技术、新领域不断涌现,使得我们能够更好地理解和正确地维护网络安全。然而由于许多商业性机构经常会错误理解安全评估的不同类型,导致人们常会把漏洞扫描和渗透测试搞混。事
实上,这俩术语确实往往交替使用,但它俩之间其实有所区别。
漏洞扫描和渗透测试的不同点在于:渗透测试除了定位漏洞外,还需要进一步尝试对漏洞进行攻击利用、提
权以及维持对目标系统的控制权;而漏洞扫描只清楚地展示出系统中存在的所有缺陷,但是不会衡量这些缺陷对
系统造成的影响。漏洞扫描和渗透测试的另一不同之处在于:渗透测试的侵略性要强很多,它会试图使用各种技
术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细地定位和量化系统的所有漏洞。所
以一般来说渗透测试会是相对较昂贵的服务。
要想优化公司的网络风险态势,不仅需要漏洞扫描,还要评估漏洞是否可被切实利用,以及它们可能导致什
么风险。而增强公司对网络攻击的弹性,则需要理解漏洞扫描、渗透测试和网络风险分析之间的内部联系。
漏洞扫描是通过定位那些可能造成组织资产损失的威胁元素,来评估组织内部和外部安全性的过程。这一评
估技术不只是找出现有防范体系中的安全风险,同时还会提出相应的修补方案和漏洞修补的优先级顺序。内部漏
洞扫描保障了系统内部的安全性,而外部漏洞扫描则衡量了系统外围防御体系的安全性。然而越来越多的组织也
正在进行渗透测试,来确定漏洞的可利用程度。渗透测试是由“白帽子”试图模拟一个恶意的外部或内部网络攻击
者的行动,目的是发现安全漏洞并随后检查自己造成的风险,以此信息可以提取哪些漏洞可被利用。企业根据所
要实施的评估类型的不同,可以选择相应的测试流程、工具和技术,自动化地定位信息资产中存在的漏洞。
目前市场上漏洞扫描产品比较多,无论是针对网络、应用还是数据库,对很多大型终端用户公司而言早已是
标准规程。现有的软件扫描器可用来评估公司企业的安全态势,识别已知安全空白,提出恰当的风险缓解动作建
议——要么清除,要么至少降至可接受的风险水平。然而, 大多数漏洞扫描器只是关注现有的漏洞, 这只是漏洞管
理过程中的第一步。若不将漏洞放到利用环境下考虑,修复资源通常会摆错地方。为了更好地优先考虑补救措施,
最好确定特定的漏洞是否可利用。跳过这一步不仅浪费钱,而且更重要的是会给黑客足够多的利用高危漏洞的机会。
企业需要进行全面的风险分析,考虑所有的因素,包括资产临界、漏洞、外部威胁、可达性、可利用性和业
务的影响。所以漏洞扫描、渗透测试和网络风险分析必须携手工作,才能降低网络安全风险。
页:
[1]
