渗透测试和漏洞评估的真相

简介:

人们常会把漏洞评估和渗透测试搞混。事实上,这俩术语确实往往交替使用,但,它俩之间其实是天壤之别。为强化公司的网络风险态势,不单单需要测试漏洞,还需要评估漏洞是否可被切实利用,以及它们代表着什么风险。而增强公司对网络攻击的弹性,则需要理解漏洞评估、渗透测试和网络风险分析之间的内部联系。

漏洞评估已成为当今动态威胁态势下的主流安全实践。利用漏洞扫描器,无论是针对网络的、应用的还是数据库的,对很多大型终端用户公司而言早已是标准规程。漏洞评估的目标,是识别和量化环境中的安全漏洞。现有软件扫描器可用来评估公司企业的安全态势,识别已知安全空白,提出恰当的风险缓解动作建议——要么清除之,要么至少将之降至可接受的风险水平。

漏洞评估过程通常会索引企业所有的资产,基于商业价值和潜在影响为资产分类,然后识别与每一种资产相关联的已知漏洞。最后一步,涉及到针对具最高潜在商业影响的资产进行关键漏洞缓解操作。发现的问题越多越好。

然而,“真正”的漏洞管理过程中,关注由漏洞扫描器发现的已知漏洞,还只是万里长征的第一步。若不将漏洞放到利用环境下考虑,修复资源通常会摆错地方。为更好地优先处理缓解动作,最好先确定特定漏洞到底是可利用还是不可利用。缺了这一步,不仅仅会造成金钱上的浪费,更重要的是,会给黑客留下更长的窗口时间和机会来利用高危漏洞。最后,我们的目标是,缩短攻击者利用软件缺陷的窗口时间。

最好记得:漏洞扫描器是基于已知漏洞列表提交结果的,意味着这些漏洞早已被安全专业人士、网络攻击者和厂商社区熟知。不幸的是,世界上不仅仅有已知漏洞,野生的未知漏洞也很多,而扫描器并不能发现它们。

除了将企业的内部安全情报放到外部威胁数据环境中考量,越来越多的企业还在进行渗透测试以确定漏洞的可利用性。渗透测试是由道德黑客执行,模拟恶意外部/内部网络攻击者的行为。渗透测试的目标,是暴露出安全空白,然后分析这些空白的风险性,确定一旦此漏洞被利用将会有何种类型的信息被泄露。渗透测试结果通常包含漏洞的严重性、可利用性和相关缓解操作。道德黑客通常使用自动化工具,比如Metasploit等,还有一些甚至会写他们自己的漏洞利用工具包。

为拼出漏洞谜题,公司企业需要进行全面的风险分析,将所有影响因素都纳入考虑范围,比如资产关键性、漏洞、外部威胁、可达性、可利用性和商业影响等。

最后,漏洞评估、渗透测试和网络风险分析必须携手共进以降低网络安全风险。





====================================分割线================================


本文转自d1net(转载)

目录
相关文章
|
10月前
|
Web App开发 SQL 安全
五种类型的渗透测试使潜在漏洞为零
一个渗透测试或笔测试是软件或硬件系统,寻求有意计划的攻击,以揭露可能违反系统的完整性,并最终损害用户的机密数据固有的安全漏洞。在这篇文章中,我们将讨论不同类型的渗透测试,以便您了解要覆盖的内容、估算工作量、高效执行。
106 1
|
开发框架 安全 前端开发
2022渗透测试-文件上传漏洞的详细讲解
2022渗透测试-文件上传漏洞的详细讲解
2022渗透测试-文件上传漏洞的详细讲解
|
安全 网络安全 Windows
渗透测试-Windows远程桌面服务漏洞(CVE-2019-0708)
渗透测试-Windows远程桌面服务漏洞(CVE-2019-0708)
渗透测试-Windows远程桌面服务漏洞(CVE-2019-0708)
|
安全 程序员 Shell
2022渗透测试-命令执行漏洞的详细讲解
渗透测试-命令执行漏洞的详细讲解
2022渗透测试-命令执行漏洞的详细讲解
|
安全 测试技术 网络安全
APP做漏洞渗透测试服务的重要性
很多新开发未上线的网站或APP项目平台,都对漏洞安全问题缺乏积极性导致后期出现很多漏洞而造成的损失,因为开发公司只开发设计实现功能,对安全性和漏洞是无法去检测的,术业有专攻,安全方面一定要交给网站安全公司来做,比如有做对网站或APP进行漏洞测试检测有无漏洞等问题的可以向SINE安全寻求技术支持,因为网站漏洞和咱电脑的系统补丁一个道理,每月都会出漏洞补丁要下载修复,而网站漏洞也是要每月定期排查。
96 0
|
移动开发 安全 测试技术
APP漏洞渗透测试实施步骤
在开始APP渗透测试时,根据需要制定步骤,并向委托方详细说明需要使用的工具、方法等。具体操作时,会把渗透测试分成三个部分和阶段,不同的角度使区别的方法有所不同,例如在理论上把渗透测试分为准备阶段、渗透测试阶段、整体对比与评估阶段,而在技术操作上分为探测、攻击渗透、目标权限获取三个阶段。
203 0
APP漏洞渗透测试实施步骤
|
SQL XML 安全
网站安全公司渗透测试常见的漏洞有哪些
我们SINE安全在进行Web渗透测试中网站漏洞利用率最高的前五个漏洞。常见漏洞包括注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本(XSS)漏洞、SSRF漏洞、XML外部实体(XXE)漏洞、反序列化漏洞、解析漏洞等。,因为这些安全漏洞可能被黑客利用,从而影响业务。以下每一条路线都是一种安全风险。黑客可以通过一系列的攻击手段发现目标的安全弱点。如果安全漏洞被成功利用,目标将被黑客控制,威胁目标资产或正常功能的使用,最终导致业务受到影响。
287 0
网站安全公司渗透测试常见的漏洞有哪些
|
SQL 安全 测试技术
网站APP渗透测试越权漏洞介绍
网络上,大家经常可以看到数据库被脱裤、用户信息泄露等由于安全漏洞引发的问题,给用户和企业都带来了很大的损失。由于公司业务发展迅速,功能不断增加,用户数量不断增加,安全问题日益受到人们的关注。业务部门和安全部门在实践安全测试时开展合作,早期测试人员和安全同学通过手工执行安全测试用例来发现问题,随后慢慢地也开始使用一些安全工具,通过自动化的方式来提高发现问题的效率。
167 0
网站APP渗透测试越权漏洞介绍
|
SQL 安全 算法
手机IOS-APP渗透测试漏洞防护方案
目前在国内很多项目都有手机端APP以及IOS端,但对于安全性问题无法确保,常常出现数据被篡改,以及会员金额被篡改,或是被入侵和攻击等问题,接下来由Sinesafe渗透测试工程师带大家更深入的了解如何做APP的安全防护以及漏洞检测原理机制。
294 0
手机IOS-APP渗透测试漏洞防护方案
|
SQL 安全 测试技术
渗透测试网站漏洞寻找过程
渗透测试系统漏洞如何找到:在信息收集的根本上找到目标软件系统的系统漏洞。系统漏洞找到我来为大伙儿梳理了4个层面:框架结构模块透明化系统漏洞:依据所APP的的框架结构模块版本号状况,检索透明化系统漏洞认证payload,根据人工或是软件的方法认证系统漏洞。通常这类系统漏洞,存有全部都是许多非常大的系统漏洞。过去系统漏洞:像例如xss\sql注入\ssrf等过去的信息安全系统漏洞,这部分可以运用人工或是软件开展鉴别,就考察大伙儿应对系统漏洞的熟练掌握水平了。动态口令系统漏洞:系统对登录界面点采取动态口令攻击。代码审计0day:在开源代码或未开源代码的状况下,获得目标APP系统源码,开展代码审计。
142 0
渗透测试网站漏洞寻找过程