共计 1049 个字符,预计需要花费 3 分钟才能阅读完成。
浸透测试和破绽扫描经常被混同,这两者都通过摸索零碎来寻找 IT 基础架构中的弱点及易受攻击的中央。浏览本文,带你理解两者之间的差别与不同。
手动 vs 主动
浸透测试是一种手动平安评估形式,网络安全人员通过此类测试,对系统的安全控制进行评估,包含 web 应用程序、网络和云环境。这种测试可能须要几周的工夫能力实现,基于其复杂性和老本,企业往往抉择每年进行一次浸透测试。
而破绽扫描是一种自动化,且能够间接装置在网络上或在线拜访工具执行的安全检查。破绽扫描程序会在零碎中运行无数次安全检查,生成蕴含修复倡议的破绽列表。因而,即便企业团队没有 24/7 的网络安全专家,也可能继续运行安全检查。
一次性 vs 常规性
浸透测试可能无效帮忙企业在某个工夫点发现缺点。然而因为浸透测试的复杂性和老本,许多企业抉择每年进行一次浸透测试,执行年度浸透测试来爱护企业免受网络攻击已成为企业平安策略的重要组成部分。那么问题来了,在两次测试之间的一年内会产生什么呢?
比方,在上一次浸透测试完结和下一次开始之前的一年中,在运行敏感客户门户的 Apache Web 服务器中发现了一个重大破绽,该怎么办呢?或者高级开发人员做了谬误的平安配置会怎么呢?再或者网络工程师长期关上防火墙上的一个端口,把数据库裸露在互联网但却遗记敞开它又会怎么?在下一次浸透测试之前,如果不加以控制,这些问题很有可能导致重大的数据泄露问题,并给企业造成微小的损失。
浸透测试还远远不够
理解了浸透测试的特点,咱们不难看出仅仅依附浸透测试来进行安全检查是远远不够的。做个艰深的类比,一年一次的浸透测试就好比一年查看一次平安要求很高的场合的门锁,但并不安顿专人值守,直到下一年再去查看这个锁是否平安。你听听,这靠谱吗?
如果没有对网络安全问题的继续监控,那么攻击者就有机会在问题修复前进行利用并发动攻打。那些须要弱小物理安全性的企业经常把领有可能在全年每天 24 小时不间断阻止攻打的自动化解决方案挂在嘴边,而在歹意网络攻击猖狂的互联网时代,看待网络安全也须要领有同样的态度和解决方案。
两者互相补充
尽管目前有一些公司依然通过一年一次的浸透测试来作为网络安全的惟一防线,然而还是有很多企业曾经意识到破绽威逼呈现的频率大幅提高,以及继续、自动化破绽扫描的重要性。
破绽扫描程序通过定期扫描,为企业提供在浸透测试工夫空档之间的继续平安笼罩补充。值得庆幸的是,越来越多的企业安全意识逐步进步,对于全天候笼罩的安全策略的需要随之减少,破绽扫描作为补充手动浸透测试的弱小补充,也逐步成为各类规模公司的首选。
