许多信息安全专业人员都熟悉术语“漏洞评估”和“渗透测试”(简称“最薄”)。不幸的是,在许多情况下,这两个术语被错误地互换使用。这篇文章旨在澄清漏洞评估和渗透测试之间的差异,证明两者都是全面的漏洞管理计划的组成部分,并讨论何时何地更合适。

漏洞评估是发现和衡量系统中漏洞的严重性的过程。漏洞评估结果 清单 的漏洞,通常 优先 根据严重性和/或业务重要性。

漏洞评估通常涉及使用自动化测试工具,例如Web和网络安全扫描程序,通常会评估其结果并上报给开发和运营团队。换句话说,漏洞评估包括对旨在发现弱点的安全态势进行深入评估,并建议采取适当的补救措施或缓解措施以消除或降低风险。

相反,渗透测试通常是 目标导向 行使。渗透测试与发现漏洞关系不大,而更多地侧重于模拟现实生活中的攻击,测试防御措施和绘制出真实攻击者可以用来实现真实世界目标的路径。换句话说,渗透测试通常约为 怎么样 攻击者能够突破防御,而对特定漏洞的攻击则更少。

渗透测试(如漏洞评估)通常还涉及使用自动化 漏洞扫描器 and other 手动渗透测试工具 查找Web应用程序和网络基础结构中的漏洞。为了实现渗透测试的目标,在渗透测试和利用漏洞进行渗透方面可能更为普遍,但这也可能是脆弱性评估的特征。相反,并非所有的渗透测试都包含元素利用-在某些情况下证明攻击可能就足够了。

在这种程度上,漏洞评估和渗透测试之间的根本区别在于 面向列表 and the latter being 目标导向.

因此,鉴于漏洞评估和渗透测试通常利用许多相同的工具和技术,您应该选择哪种方法,何时以及为什么使用?

由于渗透测试会在实现目标的道路上测试安全防御措施,因此通常在目标的安全成熟度较高(即,认为目标安全防御措施很强)时更有用。渗透测试是一种针对特定目标测试有关系统防御的断言的有效方法。这意味着渗透测试最适合以下情况 深度超过广度 is preferred.

另一方面,漏洞评估特别适用于存在已知安全问题的情况,或者当安全​​性尚未成熟的组织希望开始时。另外,对于具有中等至高安全性成熟度并希望通过连续的漏洞评估来维持其安全状态的组织,漏洞评估是一种理想的方法,尤其是在 自动化安全测试 被利用。因此,漏洞评估是一种方法,重点在于为组织提供需要修复的漏洞列表,而不评估特定的攻击目标或方案。这使得漏洞评​​估最适合以下情况 深度广度 is preferred.

通过:

资源: Acunetix博客