趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
滲透測試利用目標系統架構中存在的漏洞,而漏洞掃描(或評估)則檢查已知漏洞,產生風險形勢報告。
滲透測試范圍是針對性的,而且總有人的因素參與其中。這個世界上沒有自動化滲透測試這種東西。滲透測試需要使用工具,有時候要用到很多工具,但同樣要求有極具經驗的專家來進行測試。
漏洞掃描是在網絡設備中發現潛在漏洞的過程,比如防火墻、路由器、交換機、服務器、各種應用等等。該過程是自動化的,專注于網絡或應用層上的潛在及已知漏洞。漏洞掃描不涉及漏洞利用。漏洞掃描器只識別已知漏洞,因而不是為了發現零日漏洞利用而構建的。
滲透測試在應用層面或網絡層面都可以進行,也可以針對具體功能、部門或某些資產。或者,也可以將整個基礎設施和所有應用囊括進來。只不過,受成本和時間限制,這在現實世界中是不切實際的。
漏洞掃描在全公司范圍進行,需要自動化工具處理大量的資產。其范圍比滲透測試要大。漏洞掃描產品通常由系統管理員或具備良好網絡知識的安全人員操作,想要高效使用這些產品,需要擁有特定于產品的知識。
推薦文章
