人们常会把漏洞评估和渗透测试搞混。事实上,这俩术语确实往往交替使用,但,它俩之间其实是天壤之别。为强化公司的网络风险态势,不单单需要测试漏洞,还需要评估漏洞是否可被切实利用,以及它们代表着什么风险。而增强公司对网络攻击的弹性,则需要理解漏洞评估、渗透测试和网络风险分析之间的内部联系。
漏洞评估已成为当今动态威胁态势下的主流安全实践。利用漏洞扫描器,无论是针对网络的、应用的还是数据库的,对很多大型终端用户公司而言早已是标准规程。漏洞评估的目标,是识别和量化环境中的安全漏洞。现有软件扫描器可用来评估公司企业的安全态势,识别已知安全空白,提出恰当的风险缓解动作建议——要么清除之,要么至少将之降至可接受的风险水平。
漏洞评估过程通常会索引企业所有的资产,基于商业价值和潜在影响为资产分类,然后识别与每一种资产相关联的已知漏洞。最后一步,涉及到针对具最高潜在商业影响的资产进行关键漏洞缓解操作。发现的问题越多越好。
然而,“真正”的漏洞管理过程中,关注由漏洞扫描器发现的已知漏洞,还只是万里长征的第一步。若不将漏洞放到利用环境下考虑,修复资源通常会摆错地方。为更好地优先处理缓解动作,最好先确定特定漏洞到底是可利用还是不可利用。缺了这一步,不仅仅会造成金钱上的浪费,更重要的是,会给黑客留下更长的窗口时间和机会来利用高危漏洞。最后,我们的目标是,缩短攻击者利用软件缺陷的窗口时间。
最好记得:漏洞扫描器是基于已知漏洞列表提交结果的,意味着这些漏洞早已被安全专业人士、网络攻击者和厂商社区熟知。不幸的是,世界上不仅仅有已知漏洞,野生的未知漏洞也很多,而扫描器并不能发现它们。
除了将企业的内部安全情报放到外部威胁数据环境中考量,越来越多的企业还在进行渗透测试以确定漏洞的可利用性。渗透测试是由道德黑客执行,模拟恶意外部/内部网络攻击者的行为。渗透测试的目标,是暴露出安全空白,然后分析这些空白的风险性,确定一旦此漏洞被利用将会有何种类型的信息被泄露。渗透测试结果通常包含漏洞的严重性、可利用性和相关缓解操作。道德黑客通常使用自动化工具,比如Metasploit等,还有一些甚至会写他们自己的漏洞利用工具包。
为拼出漏洞谜题,公司企业需要进行全面的风险分析,将所有影响因素都纳入考虑范围,比如资产关键性、漏洞、外部威胁、可达性、可利用性和商业影响等。
最后,漏洞评估、渗透测试和网络风险分析必须携手共进以降低网络安全风险。
====================================分割线================================
本文转自d1net(转载)