如何區(qū)分(fēn)漏洞掃描與滲透測試

漏洞掃描與滲透測試都是維護網絡安全的(de)重要舉措，但這(zhè)不代表兩者之間沒有區(qū)别，漏洞掃描替代不了(le)滲透測試的(de)重要性，滲透測試本身也(yě)守不住整個(gè)網絡的(de)安全。那我們如何區(qū)分(fēn)漏洞掃描與滲透測試呢(ne)？

這(zhè)兩者在各自層面上都非常重要，是網絡風險分(fēn)析所需，PCI、HIPPA、ISO 27001 等标準中也(yě)有要求。滲透測試利用(yòng)目标系統架構中存在的(de)漏洞，而漏洞掃描（或評估）則檢查已知漏洞，産生風險形勢報告。

滲透測試和(hé)漏洞掃描都主要依賴3個(gè)因素：

1. 範圍

2. 資産的(de)風險與關鍵性

3. 成本與時(shí)間

滲透測試範圍是針對(duì)性的(de)，而且總有人(rén)的(de)因素參與其中。這(zhè)個(gè)世界上沒有自動化(huà)滲透測試這(zhè)種東西。滲透測試需要使用(yòng)工具，有時(shí)候要用(yòng)到很多(duō)工具，但同樣要求有極具經驗的(de)專家來(lái)進行測試。

專業的(de)滲透測試員(yuán)，在測試中總會編寫腳本，修改攻擊參數，或者調整所用(yòng)工具的(de)設置。

滲透測試在應用(yòng)層面或網絡層面都可(kě)以進行，也(yě)可(kě)以針對(duì)具體功能、部門或某些資産。或者，也(yě)可(kě)以将整個(gè)基礎設施和(hé)所有應用(yòng)囊括進來(lái)。隻不過，受成本和(hé)時(shí)間限制，這(zhè)在現實世界中是不切實際的(de)。

範圍的(de)定義，主要基于資産風險與重要性。在低風險資産上花費大(dà)量時(shí)間與金錢進行滲透測試不現實。畢竟，滲透測試需要高(gāo)技術人(rén)才，而這(zhè)正是爲什(shén)麽滲透測試如此昂貴的(de)原因。

另外，測試員(yuán)往往利用(yòng)新漏洞，或者發現正常業務流程中未知的(de)安全缺陷，這(zhè)一過程可(kě)能需要幾天到幾個(gè)星期的(de)時(shí)間。鑒于其花費和(hé)高(gāo)于平均水(shuǐ)平的(de)宕機概率，滲透測試通(tōng)常一年隻進行一次。所有的(de)報告都簡短而直擊重點。

而漏洞掃描是在網絡設備中發現潛在漏洞的(de)過程，比如防火牆、路由器、交換機、服務器、各種應用(yòng)等等。該過程是自動化(huà)的(de)，專注于網絡或應用(yòng)層上的(de)潛在及已知漏洞。漏洞掃描不涉及漏洞利用(yòng)。漏洞掃描器隻識别已知漏洞，因而不是爲了(le)發現零日漏洞利用(yòng)而構建的(de)。

漏洞掃描在全公司範圍進行，需要自動化(huà)工具處理(lǐ)大(dà)量的(de)資産。其範圍比滲透測試要大(dà)。漏洞掃描産品通(tōng)常由系統管理(lǐ)員(yuán)或具備良好網絡知識的(de)安全人(rén)員(yuán)操作，想要使用(yòng)好這(zhè)些産品，需要擁有特定于産品的(de)知識。

漏洞掃描可(kě)針對(duì)任意數量的(de)資産進行以查明(míng)已知漏洞。然後，可(kě)結合漏洞管理(lǐ)生命周期，使用(yòng)這(zhè)些掃描結果來(lái)快(kuài)速排除影(yǐng)響重要資源中更嚴重的(de)漏洞。

相對(duì)于滲透測試，漏洞掃描的(de)花銷很低，而且這(zhè)是個(gè)偵測控制，而不像滲透測試一樣是個(gè)預防措施。

兩者結合能發揮更大(dà)作用(yòng)，分(fēn)開使用(yòng)能區(qū)别兩者，這(zhè)樣才能更好的(de)維護網絡安全。上海觀初網絡科技有限公司專注于爲企業提供信息安全解決方案的(de)技術服務公司。關注我們帶你了(le)解更多(duō)信息安全知識。