渗透测试和漏洞评估的真相

简介:

人们常会把漏洞评估和渗透测试搞混。事实上,这俩术语确实往往交替使用,但,它俩之间其实是天壤之别。为强化公司的网络风险态势,不单单需要测试漏洞,还需要评估漏洞是否可被切实利用,以及它们代表着什么风险。而增强公司对网络攻击的弹性,则需要理解漏洞评估、渗透测试和网络风险分析之间的内部联系。

漏洞评估已成为当今动态威胁态势下的主流安全实践。利用漏洞扫描器,无论是针对网络的、应用的还是数据库的,对很多大型终端用户公司而言早已是标准规程。漏洞评估的目标,是识别和量化环境中的安全漏洞。现有软件扫描器可用来评估公司企业的安全态势,识别已知安全空白,提出恰当的风险缓解动作建议——要么清除之,要么至少将之降至可接受的风险水平。

漏洞评估过程通常会索引企业所有的资产,基于商业价值和潜在影响为资产分类,然后识别与每一种资产相关联的已知漏洞。最后一步,涉及到针对具最高潜在商业影响的资产进行关键漏洞缓解操作。发现的问题越多越好。

然而,“真正”的漏洞管理过程中,关注由漏洞扫描器发现的已知漏洞,还只是万里长征的第一步。若不将漏洞放到利用环境下考虑,修复资源通常会摆错地方。为更好地优先处理缓解动作,最好先确定特定漏洞到底是可利用还是不可利用。缺了这一步,不仅仅会造成金钱上的浪费,更重要的是,会给黑客留下更长的窗口时间和机会来利用高危漏洞。最后,我们的目标是,缩短攻击者利用软件缺陷的窗口时间。

最好记得:漏洞扫描器是基于已知漏洞列表提交结果的,意味着这些漏洞早已被安全专业人士、网络攻击者和厂商社区熟知。不幸的是,世界上不仅仅有已知漏洞,野生的未知漏洞也很多,而扫描器并不能发现它们。

除了将企业的内部安全情报放到外部威胁数据环境中考量,越来越多的企业还在进行渗透测试以确定漏洞的可利用性。渗透测试是由道德黑客执行,模拟恶意外部/内部网络攻击者的行为。渗透测试的目标,是暴露出安全空白,然后分析这些空白的风险性,确定一旦此漏洞被利用将会有何种类型的信息被泄露。渗透测试结果通常包含漏洞的严重性、可利用性和相关缓解操作。道德黑客通常使用自动化工具,比如Metasploit等,还有一些甚至会写他们自己的漏洞利用工具包。

为拼出漏洞谜题,公司企业需要进行全面的风险分析,将所有影响因素都纳入考虑范围,比如资产关键性、漏洞、外部威胁、可达性、可利用性和商业影响等。

最后,漏洞评估、渗透测试和网络风险分析必须携手共进以降低网络安全风险。





====================================分割线================================


本文转自d1net(转载)

目录
相关文章
|
2月前
|
安全 程序员 网络安全
Kali渗透测试:对软件的溢出漏洞进行测试
Kali渗透测试:对软件的溢出漏洞进行测试
41 1
|
3月前
|
安全 Java 应用服务中间件
渗透测试-JBoss 5.x/6.x反序列化漏洞
渗透测试-JBoss 5.x/6.x反序列化漏洞
55 14
|
2月前
|
安全 网络协议 Linux
Kali渗透测试:使用Armitage针对漏洞进行攻击
Kali渗透测试:使用Armitage针对漏洞进行攻击
80 0
|
3月前
|
安全 网络安全 数据安全/隐私保护
渗透测试-Openssl心脏出血漏洞复现
渗透测试-Openssl心脏出血漏洞复现
151 7
|
4月前
|
安全 应用服务中间件 网络安全
Python 渗透测试:漏洞的批量搜索与利用.(GlassFish 任意文件读取)
Python 渗透测试:漏洞的批量搜索与利用.(GlassFish 任意文件读取)
58 11
|
4月前
|
安全 测试技术 网络安全
|
6月前
|
存储 安全 测试技术
渗透测试之白盒测试:一种深入的安全性评估方法
渗透测试中的白盒测试是一种利用系统详细信息(如源代码、数据库结构和网络拓扑)进行深度安全评估的方法。通过源代码审查、数据库分析和网络拓扑研究,测试人员能更准确地发现漏洞并提高测试效率。尽管白盒测试能深入揭露潜在威胁,但也面临信息获取难、代码理解复杂及对测试人员高技能要求的挑战。
渗透测试之白盒测试:一种深入的安全性评估方法
|
5月前
|
安全 测试技术 网络安全
网络安全中的渗透测试与风险评估:技术深度解析
【7月更文挑战第3天】在网络安全领域,渗透测试和风险评估是两种不可或缺的技术手段。通过模拟黑客的攻击手段来发现系统中的安全漏洞,以及通过系统性的方法来识别和评估潜在的风险和威胁,两者共同为组织提供了全面的网络安全保障。随着技术的不断发展和网络环境的日益复杂,渗透测试和风险评估的重要性将日益凸显。因此,网络安全从业者应不断学习和掌握这两种技术,以应对日益严峻的网络安全挑战。
|
7月前
|
SQL 安全 测试技术
渗透测试基础之永恒之蓝漏洞复现
对于当下来说我们使用的电脑大多是win11或是win10,还是有很多政府和公司,或是学校中使用的系统还停留在win7系统.今天是我进行渗透测试的第一次实战,通过永恒之蓝漏洞利用对win7系统进行渗透,当然也会对渗透测试的流程进行一个详细的介绍.,渗透测试的流程信息较为详细,内容较多,如果想看实战流程,直接通过通过这次的渗透测试,虽然不是对web间进行渗透测试,但是通过实战能够使我能够熟悉渗透测试的流程,当然在实践过程中也出现了很多问题,例如从kali上传文件到win主机路径出现问题,配置攻击模块时将ip地址设置错误,但在我不断的思考和尝试下,最终解决了问题,对于我的解决问题的能力也是一种提升.
366 3
|
安全 程序员 Shell
2022渗透测试-命令执行漏洞的详细讲解
渗透测试-命令执行漏洞的详细讲解
2022渗透测试-命令执行漏洞的详细讲解