漏洞评估与渗透测试之间的区别是什么
漏洞评估是发现和衡量系统中漏洞的严重性的过程,会产生漏洞列表,通常会按严重性和/或业务关键性对其进行优先级排序。相反,渗透测试通常与攻击者如何突破防御能力有关,而与特定漏洞无关。
许多信息安全专业人员都熟悉术语漏洞评估
和渗透测试
。不幸的是,在许多情况下,这两个术语被错误地互换使用。
漏洞评估是发现和衡量系统中漏洞的严重性的过程。漏洞评估会产生漏洞列表,通常会按严重性和/或业务关键性对其进行优先级排序。
漏洞评估通常涉及使用自动化测试工具,例如Web和网络安全扫描程序,通常会评估其结果并上报给开发和运营团队。换句话说,漏洞评估包括对旨在发现漏洞的安全态势进行深入评估,并建议采取适当的补救措施或缓解措施以消除或降低风险。
相反,渗透测试通常是面向目标的练习。渗透测试与发现漏洞关系不大,而更多地侧重于模拟现实生活中的攻击,测试防御措施和绘制出真实攻击者可以用来实现真实世界目标的路径。换句话说,渗透测试通常与攻击者如何突破防御能力有关,而与特定漏洞无关。
渗透测试(类似于漏洞评估)通常还涉及使用自动漏洞扫描程序和其他手动渗透测试工具来查找Web应用程序和网络基础结构中的漏洞。为了实现渗透测试的目标,在渗透测试和利用漏洞进行渗透方面可能更为普遍,但这也可能是脆弱性评估的特征。相反,并非所有的渗透测试都包含元素利用-在某些情况下,证明攻击可能就足够了。
在这种程度上,漏洞评估和渗透测试之间的根本区别是前者是面向列表的,而后者是面向目标的。并且他们一个广度重于深度,另一个深度重于广度,这就是他们最直接的区别。
因此,鉴于漏洞评估和渗透测试通常利用许多相同的工具和技术,您应该选择哪种方法,何时以及为什么使用?
由于渗透测试将跨目标的路径测试安全防御,因此通常在目标的安全成熟度较高(即,认为目标的安全防御很强)时更有用。渗透测试是一种针对特定目标测试有关系统防御的断言的有效方法。这意味着渗透测试最适合深度优先于宽度的情况。
另一方面,漏洞评估特别适用于存在已知安全问题的情况,或者当安全性尚未成熟的组织希望开始时。另外,对于具有中等至高度安全性成熟度并希望通过连续的漏洞评估来维持其安全状态的组织,漏洞评估是一种理想的方法,尤其是在利用自动化安全测试的情况下,这种方法特别有效。因此,漏洞评估是一种方法,其重点在于为组织提供需要修复的漏洞列表,而不评估特定的攻击目标或方案。这使漏洞评估最适合广度超过深度的情况 是首选。