取消
清空记录
历史记录
清空记录
历史记录
漏洞扫描与渗透测试都是维护网络安全的重要举措,但这不代表两者之间没有(yǒu)區(qū)别,漏洞扫描替代不了渗透测试的重要性,渗透测试本身也守不住整个网络的安全。那我们如何區(qū)分(fēn)漏洞扫描与渗透测试呢(ne)?
这两者在各自层面上都非常重要,是网络风险分(fēn)析所需,PCI、HIPPA、ISO 27001 等标准中也有(yǒu)要求。渗透测试利用(yòng)目标系统架构中存在的漏洞,而漏洞扫描(或评估)则检查已知漏洞,产生风险形势报告。
渗透测试和漏洞扫描都主要依赖3个因素:
1. 范围
2. 资产的风险与关键性
3. 成本与时间
渗透测试范围是针对性的,而且总有(yǒu)人的因素参与其中。这个世界上没有(yǒu)自动化渗透测试这种东西。渗透测试需要使用(yòng)工具,有(yǒu)时候要用(yòng)到很(hěn)多(duō)工具,但同样要求有(yǒu)极具经验的专家来进行测试。
专业的渗透测试员,在测试中总会编写脚本,修改攻击参数,或者调整所用(yòng)工具的设置。
渗透测试在应用(yòng)层面或网络层面都可(kě)以进行,也可(kě)以针对具體(tǐ)功能(néng)、部门或某些资产。或者,也可(kě)以将整个基础设施和所有(yǒu)应用(yòng)囊括进来。只不过,受成本和时间限制,这在现实世界中是不切实际的。
范围的定义,主要基于资产风险与重要性。在低风险资产上花(huā)费大量时间与金钱进行渗透测试不现实。毕竟,渗透测试需要高技术人才,而这正是為(wèi)什么渗透测试如此昂贵的原因。
另外,测试员往往利用(yòng)新(xīn)漏洞,或者发现正常业務(wù)流程中未知的安全缺陷,这一过程可(kě)能(néng)需要几天到几个星期的时间。鉴于其花(huā)费和高于平均水平的宕机概率,渗透测试通常一年只进行一次。所有(yǒu)的报告都简短而直击重点。
而漏洞扫描是在网络设备中发现潜在漏洞的过程,比如防火墙、路由器、交换机、服務(wù)器、各种应用(yòng)等等。该过程是自动化的,专注于网络或应用(yòng)层上的潜在及已知漏洞。漏洞扫描不涉及漏洞利用(yòng)。漏洞扫描器只识别已知漏洞,因而不是為(wèi)了发现零日漏洞利用(yòng)而构建的。
漏洞扫描在全公司范围进行,需要自动化工具处理(lǐ)大量的资产。其范围比渗透测试要大。漏洞扫描产品通常由系统管理(lǐ)员或具备良好网络知识的安全人员操作,想要使用(yòng)好这些产品,需要拥有(yǒu)特定于产品的知识。
漏洞扫描可(kě)针对任意数量的资产进行以查明已知漏洞。然后,可(kě)结合漏洞管理(lǐ)生命周期,使用(yòng)这些扫描结果来快速排除影响重要资源中更严重的漏洞。
相对于渗透测试,漏洞扫描的花(huā)销很(hěn)低,而且这是个侦测控制,而不像渗透测试一样是个预防措施。
两者结合能(néng)发挥更大作用(yòng),分(fēn)开使用(yòng)能(néng)區(qū)别两者,这样才能(néng)更好的维护网络安全。上海观初网络科(kē)技有(yǒu)限公司专注于為(wèi)企业提供信息安全解决方案的技术服務(wù)公司。关注我们带你了解更多(duō)信息安全知识。
相关新(xīn)闻