服务器网络安全中的扫描漏洞与渗透测试的区别在哪

已关闭留言

常常会有人将漏洞扫描、渗透测试的重要性弄混,漏洞扫描代替不了渗透测试的,当然仅仅只依靠渗透测试也是守不住整个网络的安全的。那么,漏洞扫描、渗透测试的区别主要有哪些呢?

这两种都是属于网络风险分析所需要的,渗透测试利用目标系统架构中存在的漏洞,而漏洞扫描则是检查已经存在的路东,并得出风险形势报告。

渗透测试和漏洞扫描都主要依赖3个因素:

1. 范围

2. 资产的风险与关键性

3. 成本与时间

渗透测试范围是针对性的,而且总有人的因素参与其中。这个世界上没有自动化渗透测试这种东西。渗透测试需要使用工具,有时候要用到很多工具,但同样要求有极具经验的专家来进行测试。

优秀的渗透测试员,在测试中总会编写脚本,修改攻击参数,或者调整所用工具的设置。

渗透测试在应用层面或网络层面都可以进行,也可以针对具体功能、部门或某些资产。或者,也可以将整个基础设施和所有应用囊括进来。只不过,受成本和时间限制,这在现实世界中是不切实际的。

范围的定义,主要基于资产风险与重要性。在低风险资产上花费大量时间与金钱进行渗透测试不现实。毕竟,渗透测试需要高技术人才,而这正是为什么渗透测试如此昂贵的原因。

另外,测试员往往利用新漏洞,或者发现正常业务流程中未知的安全缺陷,这一过程可能需要几天到几个星期的时间。鉴于其花费和高于平均水平的宕机概率,渗透测试通常一年只进行一次。所有的报告都简短而直击重点。

而漏洞扫描是在网络设备中发现潜在漏洞的过程,比如防火墙、路由器、交换机、服务器、各种应用等等。该过程是自动化的,专注于网络或应用层上的潜在及已知漏洞。漏洞扫描不涉及漏洞利用。漏洞扫描器只识别已知漏洞,因而不是为了发现零日漏洞利用而构建的。

漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产。其范围比渗透测试要大。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作,想要高效使用这些产品,需要拥有特定于产品的知识。

漏洞扫描可针对任意数量的资产进行以查明已知漏洞。然后,可结合漏洞管理生命周期,使用这些扫描结果来快速排除影响重要资源中更严重的漏洞。

相对于渗透测试,漏洞扫描的花销很低,而且这是个侦测控制,而不像渗透测试一样是个预防措施。

漏洞扫描和渗透测试都可以馈送至网络风险分析过程,帮助确定最适合于公司、部门或实践的控制措施。降低风险需二者结合使用,但想得到最佳效果,就需要知道其间的差异――因为无论是漏洞扫描还是渗透测试,都是非常重要,而又用于不同目的,产生不同结果的。

渗透测试范围是比较具备针对性的,并且会有人为因素参与其中。目前,是没有自动化渗透测试的方式的。渗透测试都是需要使用工具,有时候需要用到的工具还会比较多。并且需要有极具经验的专家来测试。

比较优秀的渗透测试员,在测试过程中会编写脚本,修改攻击的参数和调整工具的设置。

渗透测试目前在应用层面还是网络曾用是都可以进行的。并且可以针对具体的功能、部门或者某些资产。也可以将整个基础设施与所有应用囊括起来。受成本和时间的限制,这也是在现实世界中不太实际的。在低风险的资产上花费大量的时间和金钱去进行渗透测试时不太现实的。毕竟使用渗透测试的操作是需要有高技术人才来进行的,这也就是渗透测试为什么比较贵的原因了。

一般情况下,由于渗透测试的价格比较贵,一般渗透测试一年都只进行一次。

相对于渗透测试,漏洞扫描是自动化的,主要是专注于网络或应用层上的已存在的漏洞扫描。漏洞扫描是不涉及漏洞利用的,仅是识别检测出已知漏洞。

漏洞扫描是通过系统管理员或者具备网络知识的技术人员操作的,要想高效的去使用这些产品,还是需要有特定于产品的知识。相对于渗透测试,漏洞扫描所需要的资金比渗透测试要低很多。