軟件安全至關(guān)重要。允許該軟件訪問(wèn)互聯(lián)網(wǎng)，并且對(duì)安全性的要求以難以想象的數(shù)量級(jí)增加。成功保護(hù)軟件及其資產(chǎn)需要多方面的方法，包括（但不限于）漏洞掃描和滲透測(cè)試。這些術(shù)語(yǔ)在 IT 行業(yè)中經(jīng)常被混淆，這是有充分理由的。滲透測(cè)試和漏洞掃描相互混淆。

漏洞評(píng)估和掃描搜索系統(tǒng)和配置文件以查找您所期望的：漏洞。Where-as 滲透測(cè)試測(cè)試積極試圖削弱環(huán)境的威脅。兩者之間的一個(gè)關(guān)鍵區(qū)別是漏洞掃描可以自動(dòng)化，其中滲透測(cè)試需要不同級(jí)別的專業(yè)知識(shí)。

所有網(wǎng)絡(luò)，無(wú)論規(guī)模大小，都可能面臨威脅。徹底監(jiān)控和測(cè)試網(wǎng)絡(luò)的安全問(wèn)題可以讓您消除威脅并降低整體風(fēng)險(xiǎn)。基于假設(shè)而不是數(shù)據(jù)驅(qū)動(dòng)的測(cè)試相信您的網(wǎng)絡(luò)是安全的，這將始終提供一種錯(cuò)誤的安全感，并可能導(dǎo)致災(zāi)難性的結(jié)果。

什么是漏洞掃描？

漏洞掃描是用于評(píng)估其他軟件、網(wǎng)絡(luò)操作或應(yīng)用程序的軟件的術(shù)語(yǔ)。該漏洞測(cè)試軟件將掃描代碼或結(jié)構(gòu)中的潛在弱點(diǎn)。就像制造工程師監(jiān)控他/她的產(chǎn)品的結(jié)構(gòu)完整性一樣，漏洞測(cè)試也是如此，尋找薄弱點(diǎn)或不良結(jié)構(gòu)。掃描識(shí)別系統(tǒng)可能受到攻擊的區(qū)域。

有兩種類型的掃描：已驗(yàn)證和未驗(yàn)證。不同之處在于，經(jīng)過(guò)身份驗(yàn)證的掃描允許使用遠(yuǎn)程協(xié)議（如安全外殼 (SSH) 或遠(yuǎn)程桌面協(xié)議 (RDP)）直接訪問(wèn)網(wǎng)絡(luò)。未經(jīng)身份驗(yàn)證的掃描只能檢查公開(kāi)可見(jiàn)的信息，并且無(wú)法提供有關(guān)資產(chǎn)的詳細(xì)信息。這種類型的掃描通常由試圖確定網(wǎng)絡(luò)安全狀況的安全分析師使用。

現(xiàn)代掃描軟件通常由構(gòu)建基于 Web 的界面應(yīng)用程序的特定提供商以軟件即服務(wù) (SaaS) 的形式提供。這些應(yīng)用程序能夠掃描已安裝的軟件、打開(kāi)端口、驗(yàn)證證書(shū)等等。

掃描程序依賴于已發(fā)布和定期更新的已知漏洞列表，這些漏洞可用于廣泛使用的軟件。漏洞不會(huì)出現(xiàn)在列表中，直到有一個(gè)顯著的修復(fù)（這可能會(huì)給零日攻擊造成困難）。當(dāng)軟件檢測(cè)到異常時(shí)，會(huì)提供補(bǔ)丁。該軟件旨在通過(guò)查詢軟件的版本信息并觀察軟件對(duì)特定請(qǐng)求提供的響應(yīng)來(lái)檢測(cè)問(wèn)題。

漏洞按優(yōu)先級(jí)分類。嚴(yán)重漏洞表明攻擊者極有可能利用弱點(diǎn)并造成損害。較低優(yōu)先級(jí)的威脅可能會(huì)幫助入侵者收集信息，但不會(huì)直接允許入侵。互聯(lián)網(wǎng)安全中心 (CIS)將持續(xù)漏洞掃描視為有效網(wǎng)絡(luò)防御的關(guān)鍵要求。

什么是滲透測(cè)試？

與漏洞掃描相比，滲透測(cè)試（也稱為“滲透測(cè)試”）是一種授權(quán)攻擊，在計(jì)算機(jī)系統(tǒng)上模擬，旨在評(píng)估系統(tǒng)的安全性。運(yùn)行測(cè)試以識(shí)別弱點(diǎn)（漏洞），例如訪問(wèn)系統(tǒng)功能或數(shù)據(jù)的能力。它還編制了整個(gè)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。滲透測(cè)試可以幫助確定系統(tǒng)是否容易受到攻擊，當(dāng)前的防御系統(tǒng)是否足夠，如果沒(méi)有，哪些防御被擊敗。滲透測(cè)試可以針對(duì)應(yīng)用程序中的已知漏洞或許多應(yīng)用程序中出現(xiàn)的常見(jiàn)模式。它不僅可以發(fā)現(xiàn)軟件缺陷，還可以發(fā)現(xiàn)應(yīng)用程序和網(wǎng)絡(luò)配置中的弱點(diǎn)。

滲透測(cè)試通常有五個(gè)階段：

1. 偵察——收集目標(biāo)系統(tǒng)的信息。
2. 掃描——滲透測(cè)試工具，用于加深攻擊者對(duì)系統(tǒng)的了解。
3. 獲得訪問(wèn)權(quán)限——利用之前收集的數(shù)據(jù)，攻擊者可以針對(duì)系統(tǒng)中的漏洞進(jìn)行攻擊。
4. 維護(hù)訪問(wèn)——采取措施保持在目標(biāo)環(huán)境中以收集盡可能多的數(shù)據(jù)。
5. 覆蓋痕跡——攻擊者必須從系統(tǒng)中清除所有攻擊痕跡，包括收集的任何類型的數(shù)據(jù)或記錄的事件，以保持匿名。

“模糊”數(shù)據(jù)包是一種流行的技術(shù)。這些是對(duì)應(yīng)用程序的合法請(qǐng)求，其中一個(gè)或幾個(gè)字符隨機(jī)更改。他們鍛煉了系統(tǒng)干凈地處理錯(cuò)誤輸入的能力。

與漏洞掃描一樣，測(cè)試可以經(jīng)過(guò)身份驗(yàn)證或未經(jīng)身份驗(yàn)證。經(jīng)過(guò)身份驗(yàn)證的測(cè)試在內(nèi)部網(wǎng)絡(luò)上以注冊(cè)和登錄用戶身份運(yùn)行，而未經(jīng)身份驗(yàn)證的測(cè)試來(lái)自沒(méi)有網(wǎng)絡(luò)權(quán)限的外部源。

在某些情況下，測(cè)試不僅僅是發(fā)送和接收數(shù)據(jù)，而是檢查組織的業(yè)務(wù)流程。如果它在他們指定的范圍內(nèi)，測(cè)試人員可能會(huì)發(fā)送網(wǎng)絡(luò)釣魚(yú)消息來(lái)測(cè)試用戶捕獲欺詐請(qǐng)求的能力。他們甚至可能試圖潛入設(shè)施以測(cè)試物理安全性。

安全專家將滲透測(cè)試歸類為“白盒”或“黑盒”。白盒測(cè)試盡可能多地使用有關(guān)目標(biāo)系統(tǒng)的信息。這包括它運(yùn)行的軟件、網(wǎng)絡(luò)架構(gòu)，有時(shí)甚至是源代碼。黑盒測(cè)試僅使用公開(kāi)可用的信息。

原則上，白盒測(cè)試應(yīng)該發(fā)現(xiàn)更多問(wèn)題，因?yàn)樗懈嘈畔⒁^續(xù)。然而，滲透測(cè)試人員很容易變得依賴于他們對(duì)系統(tǒng)的了解，而不是充分發(fā)揮他們的想象力。黑盒測(cè)試人員從與外部入侵者相同的位置開(kāi)始，必須在沒(méi)有幫助的情況下找到弱點(diǎn)。他們可能會(huì)設(shè)計(jì)出白盒測(cè)試人員沒(méi)有想到的方法。兩種方法都有其優(yōu)點(diǎn)和缺點(diǎn)。

筆測(cè)試不是單一的安全解決方案，而是全面安全審計(jì)的一個(gè)組成部分。例如，為了保持 PCI 合規(guī)性，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)要求定期進(jìn)行安全滲透測(cè)試，尤其是在系統(tǒng)更改之后。

了解安全測(cè)試報(bào)告

兩種測(cè)試的可交付成果是關(guān)于發(fā)現(xiàn)的任何問(wèn)題的詳細(xì)報(bào)告。漏洞報(bào)告很長(zhǎng)但很簡(jiǎn)單。對(duì)于每個(gè)問(wèn)題，報(bào)告都會(huì)列出來(lái)源、嚴(yán)重性等級(jí)、描述和補(bǔ)救措施。典型的補(bǔ)救措施是安裝補(bǔ)丁。如果該軟件有弱點(diǎn)并且其發(fā)布者不再維護(hù)它，則可能需要用更安全的東西替換它。信息安全人員需要對(duì)列表進(jìn)行詳細(xì)的分類，消除或推遲漏洞帶來(lái)的風(fēng)險(xiǎn)很小或沒(méi)有風(fēng)險(xiǎn)的行動(dòng)。

滲透測(cè)試的報(bào)告將列出更少的項(xiàng)目，但它們并不那么容易解釋和補(bǔ)救。它將描述攻擊技術(shù)，這通常是模棱兩可的。它將解釋潛在的影響。補(bǔ)救措施可能很簡(jiǎn)單，例如限制訪問(wèn)。在其他情況下，提出修復(fù)可能需要認(rèn)真分析。一份強(qiáng)有力的報(bào)告將把結(jié)果放在上下文中，并為補(bǔ)救提供詳細(xì)的建議。

滲透測(cè)試和漏洞掃描過(guò)程的區(qū)別

運(yùn)行滲透測(cè)試被認(rèn)為比漏洞掃描更具挑戰(zhàn)性或至少涉及。滲透測(cè)試試圖闖入安全系統(tǒng)。如果系統(tǒng)有足夠的防御，這將觸發(fā)警報(bào)。盡管管理員需要知道測(cè)試和真正威脅之間的區(qū)別，但他們不能放松警惕，防范可能同時(shí)發(fā)生的可信攻擊。理想情況下，滲透測(cè)試應(yīng)該每年運(yùn)行一次，而漏洞測(cè)試應(yīng)該連續(xù)運(yùn)行。

滲透測(cè)試需要比漏洞掃描更多的創(chuàng)造力，因?yàn)樗趯ふ依闷胀I(yè)務(wù)過(guò)程的方法。例如，CEO 可以使用與內(nèi)部 LDAP 相同的密碼將他或她的密碼傳輸?shù)剿麄兊木W(wǎng)絡(luò)郵箱。要在測(cè)試中提出新的策略，您需要與有創(chuàng)造力但在技術(shù)上能夠執(zhí)行攻擊的人合作。

漏洞掃描是維護(hù)信息和網(wǎng)絡(luò)安全的重要過(guò)程。部署的每一個(gè)新添加的設(shè)備或軟件都應(yīng)該在之后的一個(gè)月內(nèi)對(duì)其進(jìn)行漏洞掃描。建立定期更新和維護(hù)的基本設(shè)備基線至關(guān)重要。掃描后發(fā)現(xiàn)的任何開(kāi)放端口或更改都應(yīng)進(jìn)行調(diào)查并視為嚴(yán)重。

漏洞掃描和滲透測(cè)試是必不可少的

為了確保網(wǎng)絡(luò)具有詳細(xì)且受到良好保護(hù)的安全級(jí)別，必須采取詳細(xì)的步驟來(lái)進(jìn)行漏洞掃描和滲透測(cè)試。探測(cè)漏洞會(huì)發(fā)現(xiàn)未打補(bǔ)丁且維護(hù)不善的軟件。它會(huì)提示 IT 人員升級(jí)遇到問(wèn)題或潛在弱點(diǎn)的軟件。如果這不可能，團(tuán)隊(duì)需要找到解決方法或更換軟件。掃描不會(huì)發(fā)現(xiàn)所有問(wèn)題。確定系統(tǒng)是否安全的最可靠方法是嘗試破壞它。這不僅會(huì)發(fā)現(xiàn)軟件缺陷，還會(huì)發(fā)現(xiàn)不安全的連接、配置漏洞和暴露的數(shù)據(jù)。漏洞掃描和滲透測(cè)試是用于監(jiān)控和改進(jìn)信息安全計(jì)劃的強(qiáng)大網(wǎng)絡(luò)安全工具。