当组织希望评估其信息系统的弹性时, 对于漏洞扫描和渗透测试各自提供的究竟是什么,往往存在一些混淆. 事实是,两者都描绘了发现现有控制中的关键漏洞所必需的更大图景的一部分. 施耐德唐斯建议组织至少每月进行一次内部漏洞扫描,每年进行一次外部渗透测试. 在实现这些活动时,组织应该了解每个活动的基础.
漏洞扫描
持续的漏洞管理实践是任何网络安全战略的基石之一. 扫描工具为了解网络连接设备的当前运行状况提供了有价值的信息, 并且能够识别补丁管理和变更控制中的关键缺口. 可以对漏洞进行优先级排序、部署补丁和更新设备配置. 但是,漏洞扫描器经常会遗漏一些关键区域.
漏洞扫描器的常见问题包括:
- 缺乏对所有设备的可见性. 跨设备子集进行扫描或使用非身份验证模式进行扫描可能会导致高风险漏洞被忽视.
- 没有考虑系统的临界性. 自动扫描器为漏洞分配一个基线风险等级, 但是忽略底层系统的重要性可能导致不正确的优先级排序,甚至导致完全跳过重要的修复.
- 无法评估架构控制. 而扫描将在设备级别捕获软件和配置中的已知弱点, 自动化工具不能解释补偿控制的影响或缺乏, 导致误报, 或者更糟……
渗透测试
而漏洞扫描使用一组预定义的规则来识别软件补丁和系统配置中的漏洞, 渗透测试依赖于人类对系统的分析,并利用了许多与实际黑客使用的相同工具. 一些在高质量渗透测试中使用的目标和攻击技术的例子:
- 〇社会工程 网络钓鱼和“钓鱼”(通过电话进行语音网络钓鱼). 这些都是真实世界中常见的技术,渗透测试人员将使用这些技术来获得未经授权的访问.
- Web应用程序- 一个熟练的团队不仅会寻找常见的错误配置, 还将测试文件上传接口, 数据输入表格, 和认证/会话管理组件的网站,以识别潜在的弱点.
- 〇人身安全 测试人员可以使用特殊工具组合绕过传统锁和电子锁, 或者利用社会工程获得进入限制区域的物理通道.
- 网络bet9平台游戏- 详细的渗透测试将演示攻击者如何使用不必要或不安全的网络bet9平台游戏来遍历组织的网络.
- 〇无线网络 必须评估Wi-Fi网络是否有适当的逻辑访问控制,以及它们的物理足迹可能给潜在攻击者带来的机会.
全面的渗透测试需要多种技能, 虽然拥有大型安全团队的组织可以将员工专门用于内部安全 红队(攻击者) -一个专注于执行渗透测试的小组-较小的组织将主要分配安全人员到他们的 蓝队(后卫),其重点是维护技术安全控制. 对于这些较小的组织, 红色的团队 练习通常外包给专业公司. 对于各种规模的组织来说,一种日益增长的做法是定期将红蓝团队的工作结合起来 紫色的团队 练习, 这使得防御者能够实时查看所使用的攻击技术,并主动调优安全控制以进行预防, 检测和响应.
施耐德唐斯如何提供帮助?
施耐德唐斯网络安全实践由多个技术领域的专家组成. 该团队在现实世界网络攻击场景中的技能和经验使我们能够为您的组织提供全面的外部漏洞,从社会工程的易感性到外部web应用程序的关键弱点. 我们的白皮书概述了外部渗透测试的优势 3flpia.readingweb.net/maximize-value-penetration-testing.