經(jīng)常有人將漏洞掃描與滲透測(cè)試混淆,漏洞掃描替代不了滲透測(cè)試的重要性淑倾,而滲透測(cè)試本身也守不住整個(gè)網(wǎng)絡(luò)的安全河狐。
一、漏洞掃描和滲透測(cè)試概念不同
漏洞掃描 是通過對(duì)網(wǎng)絡(luò)等設(shè)備的掃描驴一,了解安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)休雌,及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)肝断。然后根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置杈曲,在黑客攻擊前進(jìn)行防范驰凛。
滲透測(cè)試 則是指滲透人員在不同的位置利用各種手段對(duì)某個(gè)特定網(wǎng)絡(luò)進(jìn)行測(cè)試,以發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞担扑,輸出滲透測(cè)試報(bào)告恰响,從而清晰的知曉系統(tǒng)中存在的安全隱患和問題。
這兩者在各自層面上都非常重要涌献,都是網(wǎng)絡(luò)風(fēng)險(xiǎn)分析所需胚宦。在 網(wǎng)絡(luò)安全等級(jí)保護(hù) 、PCI(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))燕垃、HIPPA(健康保險(xiǎn)攜帶與責(zé)任法案)枢劝、ISO 27001 等標(biāo)準(zhǔn)中也有相關(guān)具體要求。
二卜壕、漏洞掃描和滲透測(cè)試服務(wù)內(nèi)容不同
漏洞掃描 是在網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)潛在漏洞的過程您旁,例如防火墻、路由器轴捎、交換機(jī)鹤盒、服務(wù)器、各種應(yīng)用等侦副。該過程是完全自動(dòng)化的侦锯,其專注于網(wǎng)絡(luò)或應(yīng)用層上的潛在及已知漏洞,該過程并不涉及到漏洞利用秦驯,它只能起到識(shí)別已知漏洞問題的作用尺碰。
漏洞掃描在全公司范圍進(jìn)行,需要自動(dòng)化工具處理大量的資產(chǎn)译隘,其范圍比滲透測(cè)試要大得多葱蝗。漏洞掃描產(chǎn)品通常由系統(tǒng)管理員或具備良好網(wǎng)絡(luò)知識(shí)的安全人員操作,想要高效使用這些细燎,也需要擁有特定知識(shí)两曼。
漏洞掃描可針對(duì)任意數(shù)量的資產(chǎn)進(jìn)行漏洞檢查,然后結(jié)合漏洞管理生命周期玻驻,使用這些掃描結(jié)果來快速排除影響重要資源中更嚴(yán)重的漏洞悼凑。
相較于滲透測(cè)試,漏洞掃描只是起到偵測(cè)控制璧瞬,而滲透測(cè)試是一個(gè)預(yù)防性措施户辫。
滲透測(cè)試 是具有針對(duì)性的,其中還包含人員的因素在內(nèi)嗤锉。目前開展?jié)B透測(cè)試就需要使用到專用工具渔欢,而工具又極其多樣化,這便要求有極具經(jīng)驗(yàn)的專家才能進(jìn)行操作瘟忱。
滲透測(cè)試在應(yīng)用層面或網(wǎng)絡(luò)層面都可以進(jìn)行奥额,也可以針對(duì)具體功能苫幢、部門或某些資產(chǎn),或者將整個(gè)基礎(chǔ)設(shè)施和所有應(yīng)用囊括其中垫挨,這就要考慮到極高的成本與充足的時(shí)間韩肝。
此外,滲透測(cè)試員利用新漏洞九榔,或者發(fā)現(xiàn)正常業(yè)務(wù)流程中未知的安全缺陷哀峻,這一過程可能需要幾天乃至幾個(gè)星期的時(shí)間。鑒于其花費(fèi)和高于平均水平的宕機(jī)概率哲泊,滲透測(cè)試通常一年只進(jìn)行一次剩蟀,所有的報(bào)告都簡(jiǎn)短而直擊重點(diǎn)。
總結(jié)
漏洞掃描和滲透測(cè)試都可以饋送至網(wǎng)絡(luò)風(fēng)險(xiǎn)分析過程切威,幫助確定最適合于公司喻旷、部門或?qū)嵺`的控制措施。降低風(fēng)險(xiǎn)需二者結(jié)合使用牢屋,但如果想得到最佳效果,就需要知道兩者之間的差異槽袄。因?yàn)闊o論是漏洞掃描還是滲透測(cè)試烙无,都是非常重要的。在實(shí)際操作中遍尺,根據(jù)不同的測(cè)試要求截酷,采取不同的安全測(cè)試方式。
