经常有人将漏洞扫描与渗透测试混淆,漏洞扫描替代不了渗透测试的重要性,而渗透测试本身也守不住整个网络的安全。
一、漏洞扫描和渗透测试概念不同
漏洞扫描 是通过对网络等设备的扫描,了解安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。然后根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。
渗透测试 则是指渗透人员在不同的位置利用各种手段对某个特定网络进行测试,以发现和挖掘系统中存在的漏洞,输出渗透测试报告,从而清晰的知晓系统中存在的安全隐患和问题。
这两者在各自层面上都非常重要,都是网络风险分析所需。在 网络安全等级保护 、PCI(支付卡行业数据安全标准)、HIPPA(健康保险携带与责任法案)、ISO 27001 等标准中也有相关具体要求。
二、漏洞扫描和渗透测试服务内容不同
漏洞扫描 是在网络设备中发现潜在漏洞的过程,例如防火墙、路由器、交换机、服务器、各种应用等。该过程是完全自动化的,其专注于网络或应用层上的潜在及已知漏洞,该过程并不涉及到漏洞利用,它只能起到识别已知漏洞问题的作用。
漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产,其范围比渗透测试要大得多。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作,想要高效使用这些,也需要拥有特定知识。
漏洞扫描可针对任意数量的资产进行漏洞检查,然后结合漏洞管理生命周期,使用这些扫描结果来快速排除影响重要资源中更严重的漏洞。
相较于渗透测试,漏洞扫描只是起到侦测控制,而渗透测试是一个预防性措施。
渗透测试 是具有针对性的,其中还包含人员的因素在内。目前开展渗透测试就需要使用到专用工具,而工具又极其多样化,这便要求有极具经验的专家才能进行操作。
渗透测试在应用层面或网络层面都可以进行,也可以针对具体功能、部门或某些资产,或者将整个基础设施和所有应用囊括其中,这就要考虑到极高的成本与充足的时间。
此外,渗透测试员利用新漏洞,或者发现正常业务流程中未知的安全缺陷,这一过程可能需要几天乃至几个星期的时间。鉴于其花费和高于平均水平的宕机概率,渗透测试通常一年只进行一次,所有的报告都简短而直击重点。
总结
漏洞扫描和渗透测试都可以馈送至网络风险分析过程,帮助确定最适合于公司、部门或实践的控制措施。降低风险需二者结合使用,但如果想得到最佳效果,就需要知道两者之间的差异。因为无论是漏洞扫描还是渗透测试,都是非常重要的。在实际操作中,根据不同的测试要求,采取不同的安全测试方式。