@Niki
1年前 提问
1个回答

漏洞扫描和渗透测试哪个好

上官雨宝
1年前

两者没有好坏之分,作为安全评估的两种不同类型是一种相辅相成的关系,渗透测试作为网络安全测试的重要组成部分,从技术来讲,就是模拟黑客的操作,发现被测目标的一些网络安全风险而漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,只有通过两者才能做好安全评估。

渗透测试范围是有针对性的,需要具有丰富经验的专家进行测试,在测试过程中还会用到许多工具。优秀的渗透测试员,在测试中总会编写脚本,修改攻击参数,或者调整所用工具的设置。

渗透测试在应用层面或网络层面都可以进行,也可以针对具体功能、部门或某些资产。但是受成本和时间限制,将整个基础设施和所有应用囊括进来进行测试是不切实际的。

范围的定义,主要基于资产风险与重要性。渗透测试需要高技术人才,成本较高。在低风险资产上花费大量时间与金钱进行渗透测试不现实。

另外,测试员发现正常业务流程中未知的安全缺陷,需要几天到几个星期的时间。鉴于其花费和高于平均水平的宕机概率,渗透测试通常一年只进行一次。所有的报告都简短而直击重点。

而漏洞扫描是在网络设备中发现潜在漏洞的过程,比如防火墙、路由器、交换机、服务器、各种应用等等。该过程是自动化的,专注于网络或应用层上的潜在及已知漏洞。漏洞扫描不涉及漏洞利用。漏洞扫描器只识别已知漏洞,因而不是为了发现零日漏洞利用而构建的。

漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产。其范围比渗透测试要大。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作,想要高效使用这些产品,需要拥有特定于产品的知识。

漏洞扫描可针对任意数量的资产查明已知漏洞。然后,再结合漏洞管理生命周期,使用这些扫描结果来快速排除影响重要资源中更严重的漏洞。

相对于渗透测试,漏洞扫描的花销很低,而且这是个侦测控制,而不像渗透测试是个预防措施。

漏洞扫描和渗透测试都可以馈送至网络风险分析过程,帮助确定最适合于公司、部门或实践的控制措施。一般大型公司会采购自动化的漏洞扫描产品,每天或者每周都能定期的进行漏洞扫描。而在新产品上线,或者发现公司有非常重要的数据在服务器上,害怕泄露,被窃取,会让专业的安全厂商,定期进行人工的渗透测试。

漏洞扫描和渗透测试并不是独立存在的,它们需要结合使用,才能达到最佳的效果,确保公司的信息化安全。