渗透测试与漏洞扫描

在工作中，还是有很多人经常容易混淆渗透测试和漏洞扫描，由于其专业性也是可以理解的。这两种服务都负责通过以类似于实际黑客的方式检查系统来揭示IT基础架构中的弱点。但是，两者之间有一个非常重要的区别。

那么渗透测试与漏洞扫描之间到底有什么区别呢？‍

渗透测试与漏洞扫描之间的主要区别

渗透测试是一种手动安全评估，网络安全专业人员借此试图找到一种方法来侵入您的系统。这是一项深入的测试，可评估各种系统的安全控制，包括 Web 应用程序、网络和云环境。这种测试可能需要数周时间才能完成，并且由于其复杂性和成本，通常仅每年进行一次。

另一方面，漏洞扫描是自动化的，由可以直接安装在您的网络上或在线访问的工具执行（有时称为自动渗透测试）。漏洞扫描器对您的系统运行数以千计的安全检查，生成包含相应修复建议的漏洞列表。在这种情况下，即使团队中没有专职网络安全专家，也可以进行持续的安全检查。

一次性渗透测试或定期漏洞扫描哪个更好？

长期以来，渗透测试一直是许多组织保护自己免受网络攻击的战略的重要组成部分，也是在特定时间点发现缺陷的绝佳方法。但是单独使用渗透测试往往会使这些组织在很长一段时间内毫无防御能力。

出于充分的理由，将年度渗透测试作为抵御攻击者的主要防御措施在过去的几年中广受欢迎，并且在当今的网络安全行业中仍然很普遍。虽然这种策略肯定比什么都不做要好，但它确实有一个相当严重的缺点——测试之间会发生什么？

例如，在年度渗透测试之间的漫长岁月中，在运行敏感客户门户的 Apache Web 服务器中发现了一个严重的新漏洞时会发生什么。或者初级开发人员引入了安全配置错误。如果网络工程师临时打开防火墙上的一个端口将数据库暴露在互联网上，而忘记关闭它怎么办？注意到这些问题是谁的工作，如果不加以控制，可能会导致数据泄露？

如果不持续监控此类问题，能否在攻击者有机可乘之前识别并修复它们？

需要强大的物理安全性的场所通常拥有 24x7 全天候自动化解决方案，以在一年中的每一天阻止攻击者。那么，为什么有些公司会以不同的方式对待网络安全呢？特别是当新漏洞层出不穷时，他们是否应该这样做？

所以希望你能开始明白为什么仅靠稀疏安排的渗透测试是不够的。这实际上相当于每年检查一次高安全性建筑物场所的锁，但在下一年检查它是否仍然安全之前却无人值守。听起来有点疯狂，对吧？

定期扫描安全问题有助于补充手动测试，因为它为组织提供了手动测试之间良好的持续安全覆盖范围。

如今，许多公司仍在使用年度渗透测试作为他们的单一防线，但随着对漏洞出现频率的理解不断成熟，我们认为自动化漏洞扫描解决方案将成为所有公司的首选，随着手动渗透测试一个强大的备份计划。

值得庆幸的是，人们虽然越来越意识到需要一种全年提供保护的策略，但我们还有一段路要走。

也许是时候醒来并闻到连续报道的味道了！

原文始发于微信公众号（河南等级保护测评）：渗透测试与漏洞扫描