隨著IT安全產(chǎn)業(yè)的迅速發(fā)展,大量新技術(shù)����、新領(lǐng)域不斷涌現(xiàn)�����,使得我們能夠更好地理解和正確地維護(hù)網(wǎng)絡(luò)安全���。然而由于許多商業(yè)性機(jī)構(gòu)經(jīng)常會(huì)錯(cuò)誤理解安全評(píng)估的不同類型,導(dǎo)致人們常會(huì)把漏洞掃描和滲透測(cè)試搞混����。
這兩者在各自層面上都非常重要,是網(wǎng)絡(luò)風(fēng)險(xiǎn)分析所需�,PCI、HIPPA�、ISO 27001 等標(biāo)準(zhǔn)中也有要求。滲透測(cè)試?yán)媚繕?biāo)系統(tǒng)架構(gòu)中存在的漏洞�,而漏洞掃描(或評(píng)估)則檢查已知漏洞,產(chǎn)生風(fēng)險(xiǎn)形勢(shì)報(bào)告�。
第一:概念不同
1�、兩者的定義:
滲透測(cè)試服務(wù)(黑盒測(cè)試)是指在客戶授權(quán)許可的情況下��,利用各種主流的攻擊技術(shù)對(duì)網(wǎng)絡(luò)做模擬攻擊測(cè)試�����,以發(fā)現(xiàn)系統(tǒng)中的安全漏洞和風(fēng)險(xiǎn)點(diǎn)���,提前發(fā)現(xiàn)系統(tǒng)潛在的各種高危漏洞和安全威脅���。
漏洞掃描:是指基于漏洞數(shù)據(jù)庫(kù),通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)�,發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)(滲透攻擊)行為。
2��、從定義中我們可以看出滲透測(cè)試除了定位漏洞外����,還需要進(jìn)一步嘗試對(duì)漏洞進(jìn)行攻擊利用、提權(quán)以及維持對(duì)目標(biāo)系統(tǒng)的控制權(quán)�����;而漏洞掃描只是清楚的展示出系統(tǒng)中存在的所有缺陷,但不會(huì)衡量這些缺陷對(duì)系統(tǒng)造成的影響���。
3���、漏洞掃描和滲透測(cè)試的另一不同之處在于:滲透測(cè)試的侵略性要強(qiáng)很多,它會(huì)試圖使用各種技術(shù)手段攻擊真實(shí)生產(chǎn)環(huán)境�����;相反����,漏洞掃描只會(huì)以一種非侵略性的方式,仔細(xì)地定位和量化系統(tǒng)的所有漏洞����。
第二:操作方式不同
1���、滲透測(cè)試范圍是針對(duì)性的��,而且總有人的因素參與其中����。這個(gè)世界上沒(méi)有自動(dòng)化滲透測(cè)試這種東西。滲透測(cè)試需要使用工具���,有時(shí)候要用到很多工具���,但同樣要求有極具經(jīng)驗(yàn)的專家來(lái)進(jìn)行測(cè)試。優(yōu)秀的滲透測(cè)試員�����,在測(cè)試中總會(huì)編寫腳本��,修改攻擊參數(shù)���,或者調(diào)整所用工具的設(shè)置�。
2�����、滲透測(cè)試員不僅要針對(duì)應(yīng)用層或網(wǎng)絡(luò)層等進(jìn)行測(cè)試���,還需要出具完整的滲透測(cè)試報(bào)告����。一般的報(bào)告都會(huì)主要包括以下內(nèi)容:滲透測(cè)試過(guò)程中發(fā)現(xiàn)可被利用的漏洞,出現(xiàn)的原因�����,解決方法等詳細(xì)文字化的描述�����。當(dāng)然在滲透的過(guò)程中����,特別是對(duì)低風(fēng)險(xiǎn)資產(chǎn)上需要花費(fèi)大量的時(shí)間,需要高技術(shù)的滲透測(cè)試人才��,所以這也是為什么滲透測(cè)試那么貴的原因����。
3、漏洞掃描是在網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)已經(jīng)存在的漏洞�����,比如防火墻���,路由器,交換機(jī)服務(wù)器等各種應(yīng)用等等,該過(guò)程是自動(dòng)化的�����,主要針對(duì)的是網(wǎng)絡(luò)或應(yīng)用層上潛在的及已知漏洞���。漏洞的掃描過(guò)程中是不涉及到漏洞的利用的�。漏洞掃描在全公司范圍進(jìn)行��,需要自動(dòng)化工具處理大量的資產(chǎn)��。其范圍比滲透測(cè)試要大����。漏洞掃描可針對(duì)任意數(shù)量的資產(chǎn)進(jìn)行以查明已知漏洞。然后��,可結(jié)合漏洞管理生命周期����,使用這些掃描結(jié)果來(lái)快速排除影響重要資源中更嚴(yán)重的漏洞。
第三:價(jià)格不同
相對(duì)漏洞掃描來(lái)說(shuō)�����,滲透測(cè)試一般比漏洞掃描貴好幾倍。所以剛開(kāi)始和客戶在溝通方案和報(bào)價(jià)的時(shí)候�,沒(méi)接觸過(guò)網(wǎng)絡(luò)安全方面的服務(wù),第一印象:覺(jué)得太貴了��。但從上面的介紹來(lái)看���,貴也是有道理的����。所以企業(yè)在選擇兩個(gè)產(chǎn)品服務(wù)時(shí)����,要看好自己目前階段適合哪一個(gè),一般來(lái)說(shuō)����,滲透測(cè)試發(fā)生在新品上線或系統(tǒng)有大的更新,或者一年2-4次即可����,漏洞掃描的話,每周定期自動(dòng)化掃描即可���。
漏洞掃描和滲透測(cè)試都可以饋送至網(wǎng)絡(luò)風(fēng)險(xiǎn)分析過(guò)程�,幫助確定最適合于公司�����、部門或?qū)嵺`的控制措施�����。二者結(jié)合�,才能得到最佳的效果,無(wú)論是漏洞掃描還是滲透測(cè)試都非常重要��,應(yīng)用于不同的目的��,產(chǎn)生不同的結(jié)果�����。
企業(yè)需要進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估�,考慮所有的因素,包括資產(chǎn)臨界�、漏洞、外部威脅�����、可達(dá)性、可利用性和業(yè)務(wù)的影響���。所以漏洞掃描���、滲透測(cè)試和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估三者不可缺一,才能大大降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����。
0531-67800866