📜  道德黑客|漏洞评估与渗透测试

📅  最后修改于: 2020-12-24 00:44:51             🧑  作者: Mango

漏洞评估

漏洞评估用于查找目标网络上的漏洞。通过使用一些自动扫描工具和一些手动支持,可以识别漏洞和威胁。该工具将对这些漏洞进行分类。在对漏洞进行分类时,安全专业人员会优先考虑这些漏洞,然后由他们决定首先解决哪个漏洞。他们将决定降低风险水平,或消除弱点。在市场上,有很多好的工具。适当范围内的漏洞扫描可以发现许多有关环境的信息,包括应用程序中的常见缺陷,未应用的补丁,网络控制方面的漏洞,漏洞软件版本。使用漏洞扫描工具,安全团队可以提供有关如何通过配置更改,补丁程序管理或强化安全基础结构来正确修复漏洞的建议。

漏洞评估流程

  • 由我们环境中的漏洞扫描程序完成对所有资产的自动发现。
  • 在基础架构,网络和应用程序中,将搜索和识别各种漏洞。
  • 根据风险和优先级确定漏洞。
  • 它的安全专家通过配置更改,补丁程序管理或强化安全基础结构来补救漏洞。

渗透测试

渗透测试用于发现特定网络的漏洞。渗透测试确定漏洞是否为真。如果渗透测试人员利用了潜在的漏洞,该漏洞将被视为真实漏洞并反映在报告中。如果它们不可用,找到,该报告将显示出不可利用的理论漏洞。如果我们利用理论上的漏洞,它将导致Dos。这意味着它威胁着网络,因此利用理论漏洞并不是一个好主意。渗透测试人员试图通过在客户的计算机上安装恶意软件或关闭服务器,或者未经授权地访问客户的系统来损害客户的网络。此步骤不包括在漏洞评估中。

渗透测试过程

  • 收集开源情报
  • 扫描和发现
  • 识别漏洞
  • 进攻阶段
  • 风险分析
  • 发送报告

漏洞评估与渗透测试之间的差异

漏洞扫描渗透测试彼此不同。渗透测试可以利用这些漏洞,而漏洞扫描可以确定漏洞的级别并进行报告。漏洞评估和渗透测试之间的区别如下:

广度与深度

漏洞覆盖率(深度和深度)是渗透测试漏洞评估之间的主要区别。

漏洞评估会尽可能多地检测安全漏洞。这是深度方法的广度。为了维护网络的安全状态,应定期采用安全措施。特别是在打开端口,添加新服务和安装新设备时。

当客户断言其网络的安全防御能力很强,但又想检查自己是否防黑客攻击时,便会使用渗透测试。这是广度方法的深度。

自动化程度

漏洞评估允许更广泛地涵盖漏洞。它通常是自动化的

渗透测试有助于深入挖掘薄弱环节。它是手动自动技术的结合

专业选择

漏洞评估中,自动化测试不需要高技能。安全部门成员也可以执行此操作。但是,公司的安全员工可能会发现一些漏洞,但不能将其包括在报告中。因此,第三方的漏洞评估供应商具有更多信息。

要进行渗透测试,我们需要高水平的专家。渗透测试的服务提供商始终将其外包。

供应商选择

渗透测试漏洞评估的差异表明,这两种安全测试都是保护网络安全的专家。

漏洞评估用于维护安全性。

渗透测试发现了安全性的弱点。

仅当您雇用有能力理解笔测试和漏洞评估能力的高质量供应商时,才能利用渗透测试漏洞评估能力。但最重要的是,供应商应具有将漏洞评估笔测试之间的差异转换给客户的能力。