51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2176|回复: 0
打印 上一主题 下一主题

“漏洞扫描”和“渗透测试”的相爱相杀!

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2018-5-18 15:54:13 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
随着IT安全产业的迅速发展,大量新技术、新领域不断涌现,使得我们能够更好地理解和正确地维护网络安全。
然而由于许多商业性机构经常会错误理解安全评估的不同类型,导致人们常会把漏洞扫描和渗透测试搞混。事
实上,这俩术语确实往往交替使用,但它俩之间其实有所区别。


       漏洞扫描和渗透测试的不同点在于:渗透测试除了定位漏洞外,还需要进一步尝试对漏洞进行攻击利用、提
权以及维持对目标系统的控制权;而漏洞扫描只清楚地展示出系统中存在的所有缺陷,但是不会衡量这些缺陷对
系统造成的影响。漏洞扫描和渗透测试的另一不同之处在于:渗透测试的侵略性要强很多,它会试图使用各种技
术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细地定位和量化系统的所有漏洞。所
以一般来说渗透测试会是相对较昂贵的服务。


       要想优化公司的网络风险态势,不仅需要漏洞扫描,还要评估漏洞是否可被切实利用,以及它们可能导致什
么风险。而增强公司对网络攻击的弹性,则需要理解漏洞扫描、渗透测试和网络风险分析之间的内部联系。

       漏洞扫描是通过定位那些可能造成组织资产损失的威胁元素,来评估组织内部和外部安全性的过程。这一评
估技术不只是找出现有防范体系中的安全风险,同时还会提出相应的修补方案和漏洞修补的优先级顺序。内部漏
洞扫描保障了系统内部的安全性,而外部漏洞扫描则衡量了系统外围防御体系的安全性。然而越来越多的组织也
正在进行渗透测试,来确定漏洞的可利用程度。渗透测试是由“白帽子”试图模拟一个恶意的外部或内部网络攻击
者的行动,目的是发现安全漏洞并随后检查自己造成的风险,以此信息可以提取哪些漏洞可被利用。企业根据所
要实施的评估类型的不同,可以选择相应的测试流程、工具和技术,自动化地定位信息资产中存在的漏洞。




       目前市场上漏洞扫描产品比较多,无论是针对网络、应用还是数据库,对很多大型终端用户公司而言早已是
标准规程。现有的软件扫描器可用来评估公司企业的安全态势,识别已知安全空白,提出恰当的风险缓解动作建
议——要么清除,要么至少降至可接受的风险水平。然而, 大多数漏洞扫描器只是关注现有的漏洞, 这只是漏洞管
理过程中的第一步。若不将漏洞放到利用环境下考虑,修复资源通常会摆错地方。为了更好地优先考虑补救措施,
最好确定特定的漏洞是否可利用。跳过这一步不仅浪费钱,而且更重要的是会给黑客足够多的利用高危漏洞的机会。

       企业需要进行全面的风险分析,考虑所有的因素,包括资产临界、漏洞、外部威胁、可达性、可利用性和业
务的影响。所以漏洞扫描、渗透测试和网络风险分析必须携手工作,才能降低网络安全风险。



分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-25 23:38 , Processed in 0.058376 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表