随着IT安全产业的迅速发展,大量新技术、新领域不断涌现,使得我们能够更好地理解和正确地维护网络安全。然而由于许多商业性机构经常会错误理解安全评估的不同类型,导致人们常会把漏洞扫描和渗透测试搞混。
这两者在各自层面上都非常重要,是网络风险分析所需,PCI、HIPPA、ISO 27001 等标准中也有要求。渗透测试利用目标系统架构中存在的漏洞,而漏洞扫描(或评估)则检查已知漏洞,产生风险形势报告。
第一:概念不同
1、两者的定义:
渗透测试服务(黑盒测试)是指在客户授权许可的情况下,利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点,提前发现系统潜在的各种高危漏洞和安全威胁。
漏洞扫描:是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
2、从定义中我们可以看出渗透测试除了定位漏洞外,还需要进一步尝试对漏洞进行攻击利用、提权以及维持对目标系统的控制权;而漏洞扫描只是清楚的展示出系统中存在的所有缺陷,但不会衡量这些缺陷对系统造成的影响。
3、漏洞扫描和渗透测试的另一不同之处在于:渗透测试的侵略性要强很多,它会试图使用各种技术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细地定位和量化系统的所有漏洞。
第二:操作方式不同
1、渗透测试范围是针对性的,而且总有人的因素参与其中。这个世界上没有自动化渗透测试这种东西。渗透测试需要使用工具,有时候要用到很多工具,但同样要求有极具经验的专家来进行测试。优秀的渗透测试员,在测试中总会编写脚本,修改攻击参数,或者调整所用工具的设置。
2、渗透测试员不仅要针对应用层或网络层等进行测试,还需要出具完整的渗透测试报告。一般的报告都会主要包括以下内容:渗透测试过程中发现可被利用的漏洞,出现的原因,解决方法等详细文字化的描述。当然在渗透的过程中,特别是对低风险资产上需要花费大量的时间,需要高技术的渗透测试人才,所以这也是为什么渗透测试那么贵的原因。
3、漏洞扫描是在网络设备中发现已经存在的漏洞,比如防火墙,路由器,交换机服务器等各种应用等等,该过程是自动化的,主要针对的是网络或应用层上潜在的及已知漏洞。漏洞的扫描过程中是不涉及到漏洞的利用的。漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产。其范围比渗透测试要大。漏洞扫描可针对任意数量的资产进行以查明已知漏洞。然后,可结合漏洞管理生命周期,使用这些扫描结果来快速排除影响重要资源中更严重的漏洞。
第三:价格不同
相对漏洞扫描来说,渗透测试一般比漏洞扫描贵好几倍。所以刚开始和客户在沟通方案和报价的时候,没接触过网络安全方面的服务,第一印象:觉得太贵了。但从上面的介绍来看,贵也是有道理的。所以企业在选择两个产品服务时,要看好自己目前阶段适合哪一个,一般来说,渗透测试发生在新品上线或系统有大的更新,或者一年2-4次即可,漏洞扫描的话,每周定期自动化扫描即可。
漏洞扫描和渗透测试都可以馈送至网络风险分析过程,帮助确定最适合于公司、部门或实践的控制措施。二者结合,才能得到最佳的效果,无论是漏洞扫描还是渗透测试都非常重要,应用于不同的目的,产生不同的结果。
企业需要进行全面的风险评估,考虑所有的因素,包括资产临界、漏洞、外部威胁、可达性、可利用性和业务的影响。所以漏洞扫描、渗透测试和网络风险评估三者不可缺一,才能大大降低网络安全风险。