误区一  渗透测试总是主动发起的

       开展渗透测试的主要目的是抢在攻击者之前发现系统的安全隐患和漏洞，因此渗透测试属于一种主动式的安全技术。但就具体的渗透测试工作而言，有时也会是被动发起的，例如当组织在调查网络攻击的原因时。在网络安全事件调查中，组织可以通过渗透测试以深入了解攻击的性质，并全面掌握该事件是如何发生的，采用的技术的是什么，以及攻击的动机是什么？因此，尽管大多数情况下，组织会主动执行测试以帮助防止违规行为。但渗透测试工作并不都是主动发起的，取证分析期间的渗透测试同样可以帮助企业了解发生了什么，从而帮助组织防止类似的事件再次发生。

误区二  渗透测试就是漏洞扫描

      由于渗透测试和漏洞扫描都是为了识别潜在的威胁途径，因此很多人会将两者混为一谈。但实际上，漏洞扫描与管理主要包括识别和分类已知漏洞，生成需要注意的优先漏洞列表，并推荐修复它们的方法。而安全威胁非常多样，并不仅限于安全漏洞的利用。渗透测试侧重于模拟攻击者的行为，在服务完成后，测试人员需要生成一份详细报告，说明测试过程中是如何破坏安全性以达到先前商定的目标（例如破坏工资系统），并提供相应的威胁缓解方案。

误区三  渗透测试仅用于发现技术缺陷

       渗透测试的目的是发现组织安全防护体系中的不足。在测试中，测试方可以应用包括社会工程方式在内的多种方法。因此，在渗透测试之前，通常会确定是否需要专门评估某项技术的安全性。在实际应用中，测试工程师可能会被授权做更多事情，例如扫描社交媒体以获取可利用的信息，或尝试通过电子邮件从用户那里获取敏感数据，甚至尝试欺骗获取用户的账号权限等。

误区四  所有渗透测试都大同小异

       从本质上讲，渗透测试是一个主要依靠安全专家或团队以人工方式模仿攻击者的真实攻击行为，其目的是在数字化基础设施的不同层级找到进入可以攻破目标网络的最有效方法。根据测试方法和目标的不同，渗透测试通常分为外部测试、内部测试、盲测、针对性测试等。

       很多企业为了节省成本，往往会选择收费更便宜的测试提供商和测试方式，并认为各种类型测试的结果会很相似，但事实并非如此。与大多数服务一样，渗透测试的程度差异很大，既有覆盖网络所有区域的广泛测试，也有针对网络中少数区域的非广泛测试。企业应该根据实际需求，专注于寻找从测试中获得的价值，而不是成本。

END

伏宸正在诚招培训课程顾问、销售实习生、安全服务工程师、渗透工程师等多种岗位!欢迎各路精英踊跃投递！

保持热爱，奔赴山海，知足上进不负野心！
欢迎积极向上，才华横溢的你~

联系方式：Hr杨小姐 13265133695（微信同号）

也可扫描下方小程序投递哦！

扫码关注

伏宸BOSS直聘

投递在招热门岗位

伏宸，让您的网络更好更安全！