浅谈渗透测试与漏洞扫描
2022-10-27 00:2:25 Author: 橘猫学安全(查看原文) 阅读量:22 收藏

众所周知,等级保护测评过程中,包含了多项指标的测评,其中还伴随着漏洞扫描和渗透测试。作为维护企业安全的两种不同类型,漏洞扫描和渗透测试的重要性经常会被混淆。在等保合规建设中,是选择漏洞扫描,还是选择渗透测试?这成为了企业关注的问题。

一、概念:

渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法;通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动的主动分析,这个分析是从一个攻击者可能存在的位置来及进行的,并且从这个位置有条件主动利用安全漏洞。

渗透测试通常分为黑箱测试、白盒测试、隐秘测试。

黑箱测试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处于对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。

白盒测试与黑箱测试恰恰相反,测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片段,也能够与单位的其它员工(销售、程序员、管理者……)进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。

隐秘测试是对被测单位而言的,通常情况下,接受渗透测试的单位网络管理部门会收到通知:在某些时段进行测试。因此能够监测网络中出现的变化。但隐秘测试则被测单位也仅有极少数人知晓测试的存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。

反过来看一下漏洞扫描的含义,漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。

漏扫的工具我们在工作中一般都是使用NESSUS、awvs、OpenVAS、NetSparker、OWASP ZAP等工具。一般的漏洞扫描分为网络扫描和主机扫描。通过漏洞扫描,扫描者能够发现远端网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。

二、流程

渗透测试的一般过程主要有明确目标、信息收集、漏洞探测、漏洞验证、信息分析、获取所需、信息整理、形成测试报告。渗透测试操作难度大,而且渗透测试的范围也是有针对性的,而且是需要人为参与。听说过漏洞自动化扫描,但你绝对听不到世界上有自动化渗透测试。渗透测试过程中,信息安全渗透人员小使用大量的工具,同时需要非常丰富的专家进行测试,不是你培训一两月就能实现的。

漏洞扫描是在网络设备中发现已经存在的漏洞,比如防火墙,路由器,交换机服务器等各种应用等等,该过程是自动化的,主要针对的是网络或应用层上潜在的及已知漏洞。漏洞的扫描过程中是不涉及到漏洞的利用的。漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产。其范围比渗透测试要大。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作,想要高效使用这些产品,需要拥有特定于产品的知识。

漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产,其范围比渗透测试要大得多。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作,想要高效使用这些,也需要拥有特定知识。

漏洞扫描可针对任意数量的资产进行漏洞检查,然后结合漏洞管理生命周期,使用这些扫描结果来快速排除影响重要资源中更严重的漏洞。

一般大型公司会采购自动化的漏洞扫描产品,每天或者每周都能定期的进行漏洞扫描,类似于在电脑上安装杀毒软件,每天只需要扫一扫就可以,定期的进行杀毒。而渗透测试的在新产品上线,或者发现公司有非常重要的数据在服务器上,害怕泄露,被窃取,让专业的安全厂商,定期进行人工的渗透测试。由此可见两者并不是独立存在的,也是需要结合使用,才能达到最佳的效果,确保公司的信息化安全。

相较于渗透测试,漏洞扫描只是起到侦测控制,而渗透测试是一个预防性措施。

渗透测试 是具有针对性的,其中还包含人员的因素在内。目前开展渗透测试就需要使用到专用工具,而工具又极其多样化,这便要求有极具经验的专家才能进行操作。

渗透测试在应用层面或网络层面都可以进行,也可以针对具体功能、部门或某些资产,或者将整个基础设施和所有应用囊括其中,这就要考虑到极高的成本与充足的时间。

此外,渗透测试员利用新漏洞,或者发现正常业务流程中未知的安全缺陷,这一过程可能需要几天乃至几个星期的时间。鉴于其花费和高于平均水平的宕机概率,渗透测试通常一年只进行一次,所有的报告都简短而直击重点。

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247499955&idx=2&sn=a2c99d45e88bf58a573bf29ee6b5c4b3&chksm=c04d478df73ace9b049a4a0244e550c3aa64084dcf17e864dce2a8b728ed9f6b138e2acf9c00#rd
如有侵权请联系:admin#unsafe.sh