滲透測(cè)試和漏洞評(píng)估的真相

責(zé)任編輯:editor007

作者:nana

2016-07-18 21:46:39

摘自:安全牛

人們常會(huì)把漏洞評(píng)估和滲透測(cè)試搞混。除了將企業(yè)的內(nèi)部安全情報(bào)放到外部威脅數(shù)據(jù)環(huán)境中考量,越來越多的企業(yè)還在進(jìn)行滲透測(cè)試以確定漏洞的可利用性。最后,漏洞評(píng)估、滲透測(cè)試和網(wǎng)絡(luò)風(fēng)險(xiǎn)分析必須攜手共進(jìn)以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

人們常會(huì)把漏洞評(píng)估和滲透測(cè)試搞混。事實(shí)上,這倆術(shù)語(yǔ)確實(shí)往往交替使用,但,它倆之間其實(shí)是天壤之別。為強(qiáng)化公司的網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì),不單單需要測(cè)試漏洞,還需要評(píng)估漏洞是否可被切實(shí)利用,以及它們代表著什么風(fēng)險(xiǎn)。而增強(qiáng)公司對(duì)網(wǎng)絡(luò)攻擊的彈性,則需要理解漏洞評(píng)估、滲透測(cè)試和網(wǎng)絡(luò)風(fēng)險(xiǎn)分析之間的內(nèi)部聯(lián)系。

漏洞評(píng)估已成為當(dāng)今動(dòng)態(tài)威脅態(tài)勢(shì)下的主流安全實(shí)踐。利用漏洞掃描器,無(wú)論是針對(duì)網(wǎng)絡(luò)的、應(yīng)用的還是數(shù)據(jù)庫(kù)的,對(duì)很多大型終端用戶公司而言早已是標(biāo)準(zhǔn)規(guī)程。漏洞評(píng)估的目標(biāo),是識(shí)別和量化環(huán)境中的安全漏洞?,F(xiàn)有軟件掃描器可用來評(píng)估公司企業(yè)的安全態(tài)勢(shì),識(shí)別已知安全空白,提出恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩解動(dòng)作建議——要么清除之,要么至少將之降至可接受的風(fēng)險(xiǎn)水平。

漏洞評(píng)估過程通常會(huì)索引企業(yè)所有的資產(chǎn),基于商業(yè)價(jià)值和潛在影響為資產(chǎn)分類,然后識(shí)別與每一種資產(chǎn)相關(guān)聯(lián)的已知漏洞。最后一步,涉及到針對(duì)具最高潛在商業(yè)影響的資產(chǎn)進(jìn)行關(guān)鍵漏洞緩解操作。發(fā)現(xiàn)的問題越多越好。

然而,“真正”的漏洞管理過程中,關(guān)注由漏洞掃描器發(fā)現(xiàn)的已知漏洞,還只是萬(wàn)里長(zhǎng)征的第一步。若不將漏洞放到利用環(huán)境下考慮,修復(fù)資源通常會(huì)擺錯(cuò)地方。為更好地優(yōu)先處理緩解動(dòng)作,最好先確定特定漏洞到底是可利用還是不可利用。缺了這一步,不僅僅會(huì)造成金錢上的浪費(fèi),更重要的是,會(huì)給黑客留下更長(zhǎng)的窗口時(shí)間和機(jī)會(huì)來利用高危漏洞。最后,我們的目標(biāo)是,縮短攻擊者利用軟件缺陷的窗口時(shí)間。

最好記得:漏洞掃描器是基于已知漏洞列表提交結(jié)果的,意味著這些漏洞早已被安全專業(yè)人士、網(wǎng)絡(luò)攻擊者和廠商社區(qū)熟知。不幸的是,世界上不僅僅有已知漏洞,野生的未知漏洞也很多,而掃描器并不能發(fā)現(xiàn)它們。

除了將企業(yè)的內(nèi)部安全情報(bào)放到外部威脅數(shù)據(jù)環(huán)境中考量,越來越多的企業(yè)還在進(jìn)行滲透測(cè)試以確定漏洞的可利用性。滲透測(cè)試是由道德黑客執(zhí)行,模擬惡意外部/內(nèi)部網(wǎng)絡(luò)攻擊者的行為。滲透測(cè)試的目標(biāo),是暴露出安全空白,然后分析這些空白的風(fēng)險(xiǎn)性,確定一旦此漏洞被利用將會(huì)有何種類型的信息被泄露。滲透測(cè)試結(jié)果通常包含漏洞的嚴(yán)重性、可利用性和相關(guān)緩解操作。道德黑客通常使用自動(dòng)化工具,比如Metasploit等,還有一些甚至?xí)懰麄冏约旱穆┒蠢霉ぞ甙?/p>

為拼出漏洞謎題,公司企業(yè)需要進(jìn)行全面的風(fēng)險(xiǎn)分析,將所有影響因素都納入考慮范圍,比如資產(chǎn)關(guān)鍵性、漏洞、外部威脅、可達(dá)性、可利用性和商業(yè)影響等。

最后,漏洞評(píng)估、滲透測(cè)試和網(wǎng)絡(luò)風(fēng)險(xiǎn)分析必須攜手共進(jìn)以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)