首页 > 其他分享 >渗透测试 vs 漏洞扫描:差异与不同

渗透测试 vs 漏洞扫描:差异与不同

时间:2022-08-29 15:46:11浏览次数:69  
标签:网络安全 渗透 扫描 漏洞 vs 测试

渗透测试和漏洞扫描常常被混淆,这两者都通过探索系统来寻找 IT 基础架构中的弱点及易受攻击的地方。阅读本文,带你了解两者之间的差异与不同。

手动 vs 自动

渗透测试是一种手动安全评估方式,网络安全人员通过此类测试,对系统的安全控制进行评估,包括 web 应用程序、网络和云环境。这种测试可能需要几周的时间才能完成,基于其复杂性和成本,企业往往选择每年进行一次渗透测试。

而漏洞扫描是一种自动化,且可以直接安装在网络上或在线访问工具执行的安全检查。漏洞扫描程序会在系统中运行无数次安全检查,生成包含修复建议的漏洞列表。因此,即使企业团队没有 24/7 的网络安全专家,也能够持续运行安全检查。

一次性 vs 常规性

渗透测试能够有效帮助企业在某个时间点发现缺陷。然而由于渗透测试的复杂性和成本,许多企业选择每年进行一次渗透测试,执行年度渗透测试来保护企业免受网络攻击已成为企业安全战略的重要组成部分。那么问题来了,在两次测试之间的一年内会发生什么呢?

比如,在上一次渗透测试结束和下一次开始之前的一年中,在运行敏感客户门户的 Apache Web 服务器中发现了一个严重漏洞,该怎么办呢?或者初级开发人员做了错误的安全配置会怎样呢?再或者网络工程师临时打开防火墙上的一个端口,把数据库暴露在互联网但却忘记关闭它又会怎样?在下一次渗透测试之前,如果不加以控制,这些问题很有可能导致严重的数据泄露问题,并给企业造成巨大的损失。

渗透测试还远远不够

了解了渗透测试的特点,我们不难看出仅仅依靠渗透测试来进行安全检查是远远不够的。做个通俗的类比,一年一次的渗透测试就好比一年检查一次安全要求很高的场所的门锁,但并不安排专人值守,直到下一年再去检查这个锁是否安全。你听听,这靠谱吗?

如果没有对网络安全问题的持续监控,那么攻击者就有机会在问题修复前进行利用并发起攻击。那些需要强大物理安全性的企业常常把拥有能够在全年每天 24 小时不间断阻止攻击的自动化解决方案挂在嘴边,而在恶意网络攻击猖獗的互联网时代,对待网络安全也需要拥有同样的态度和解决方案。

两者相互补充

虽然目前有一些公司仍然通过一年一次的渗透测试来作为网络安全的唯一防线,但是还是有很多企业已经意识到漏洞威胁出现的频率大幅提高,以及持续、自动化漏洞扫描的重要性。

漏洞扫描程序通过定期扫描,为企业提供在渗透测试时间空档之间的持续安全覆盖补充。值得庆幸的是,越来越多的企业安全意识逐渐提高,对于全天候覆盖的安全策略的需求随之增加,漏洞扫描作为补充手动渗透测试的强大补充,也逐渐成为各类规模公司的首选。

标签:网络安全,渗透,扫描,漏洞,vs,测试
From: https://www.cnblogs.com/sealio/p/16636136.html

相关文章

  • 如何使用(扫描)二维码进行登录
    一、项目背景这是我加入博客园的第一篇博客文章,我将以我毕业时写的项目里一个功能模块进行展开。扫码功能在很多大型项目、论文要求中经常用到,主要以实现用户授权(登录、......
  • vs打包程序安装包
    VisualStudio打包程序安装包一个安装包执行后会做些什么将目标软件所需要的所有文件释放在指定的磁盘位置上,完成注册表的修改,系统设置的修改,并可选择创建快捷方式......
  • opencvsharp踩坑DAY2--图像增强illuminate
    出差摸鱼做的一个用opencvsharp的东西,用于快速验证,水平极差,目前功能如下  今天搞的功能是复现halcon的图像增强算子illuminate,根据文档其运作过程为1.输入均值(低通)......
  • VScode-TodoTree 待办事项插件的定制和使用
    VScode-TodoTree待办事项插件的定制和使用背景写代码过程中,突然发现一个Bug,但是又不想停下来手中的活,以免打断思路,怎么办?按代码编写会规范,都是建议在代码中加个TODO......
  • 前端利器躬行记(8)——VSCode插件研发
    VSCode提供了丰富的API,可以借助编辑器扩展许多定制功能。本次研发了一款名为SearchMethod的插件,在此记录整个研发过程。一、准备工作1)安装环境首先是......
  • HC32L110(三) HC32L110的GCC工具链和VSCode开发环境
    目录HC32L110(一)HC32L110芯片介绍和Win10下的烧录HC32L110(二)HC32L110在Ubuntu下的烧录HC32L110(三)HC32L110的GCC工具链和VSCode开发环境以下介绍Ubuntu下搭建......
  • VSCode 国内镜像下载地址
    镜像地址https://vscode.cdn.azure.cn/stable/,后面加上VSCode版本号,比如:https://vscode.cdn.azure.cn/stable/e4503b30fc78200f846c62cf8091b76ff5547662/VSCodeUserSet......
  • 模拟赛 d (扫描线,三维偏序,线段树合并,并查集,线段树上二分)
    PRO题目大意:给定$N$个矩形,求连通块个数。($1\leqN,x_1,x_2,y-1,y_2\leq100000$)SOL乍一看就能知道是扫描线,不过这题的细节恐怖的要命。(std同样看不懂,自己魔改了一......
  • 【Vscode】推荐安装的插件
    基础功能插件中文汉化包  色彩斑斓的主题  好看的文件icon  多层括号嵌套的颜色提示插件  代码缩进的插件  vscode如何配置Java8环境1、在上面......
  • 设置nvim与vs code自动切换输入法
    ~/.vimrc避免切换模式时卡顿:setttimeoutlen=100~/.config/nvim/init.vim让nvim共享vim的配置setruntimepath^=~/.vimruntimepath+=~/.vim/afterlet&packpath=&r......