漏洞評估與滲透測試之間的區別是什么

漏洞評估是發現和衡量系統中漏洞的嚴重性的過程，會產生漏洞列表，通常會按嚴重性和/或業務關鍵性對其進行優先級排序。相反，滲透測試通常與攻擊者如何突破防御能力有關，而與特定漏洞無關。

許多信息安全專業人員都熟悉術語漏洞評估和滲透測試。不幸的是，在許多情況下，這兩個術語被錯誤地互換使用。

漏洞評估是發現和衡量系統中漏洞的嚴重性的過程。漏洞評估會產生漏洞列表，通常會按嚴重性和/或業務關鍵性對其進行優先級排序。

漏洞評估通常涉及使用自動化測試工具，例如Web和網絡安全掃描程序，通常會評估其結果并上報給開發和運營團隊。換句話說，漏洞評估包括對旨在發現漏洞的安全態勢進行深入評估，并建議采取適當的補救措施或緩解措施以消除或降低風險。

相反，滲透測試通常是面向目標的練習。滲透測試與發現漏洞關系不大，而更多地側重于模擬現實生活中的攻擊，測試防御措施和繪制出真實攻擊者可以用來實現真實世界目標的路徑。換句話說，滲透測試通常與攻擊者如何突破防御能力有關，而與特定漏洞無關。

滲透測試（類似于漏洞評估）通常還涉及使用自動漏洞掃描程序和其他手動滲透測試工具來查找Web應用程序和網絡基礎結構中的漏洞。為了實現滲透測試的目標，在滲透測試和利用漏洞進行滲透方面可能更為普遍，但這也可能是脆弱性評估的特征。相反，并非所有的滲透測試都包含元素利用-在某些情況下，證明攻擊可能就足夠了。

在這種程度上，漏洞評估和滲透測試之間的根本區別是前者是面向列表的，而后者是面向目標的。并且他們一個廣度重于深度，另一個深度重于廣度，這就是他們最直接的區別。

因此，鑒于漏洞評估和滲透測試通常利用許多相同的工具和技術，您應該選擇哪種方法，何時以及為什么使用？

由于滲透測試將跨目標的路徑測試安全防御，因此通常在目標的安全成熟度較高（即，認為目標的安全防御很強）時更有用。滲透測試是一種針對特定目標測試有關系統防御的斷言的有效方法。這意味著滲透測試最適合深度優先于寬度的情況。

另一方面，漏洞評估特別適用于存在已知安全問題的情況，或者當安全性尚未成熟的組織希望開始時。另外，對于具有中等至高度安全性成熟度并希望通過連續的漏洞評估來維持其安全狀態的組織，漏洞評估是一種理想的方法，尤其是在利用自動化安全測試的情況下，這種方法特別有效。因此，漏洞評估是一種方法，其重點在于為組織提供需要修復的漏洞列表，而不評估特定的攻擊目標或方案。這使漏洞評估最適合廣度超過深度的情況 是首選。

回答所涉及的環境：聯想天逸510S、Windows 10。