***测试和漏洞评估的真相

2021/5/30 18:22:09

本文主要是介绍***测试和漏洞评估的真相,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

人们常会把漏洞评估和***测试搞混。事实上,这俩术语确实往往交替使用,但,它俩之间其实是天壤之别。为强化公司的网络风险态势,不单单需要测试漏洞,还需要评估漏洞是否可被切实利用,以及它们代表着什么风险。而增强公司对网络***的弹性,则需要理解漏洞评估、***测试和网络风险分析之间的内部联系。


图片


漏洞评估已成为当今动态威胁态势下的主流安全实践。利用漏洞扫描器,无论是针对网络的、应用的还是数据库的,对很多大型终端用户公司而言早已是标准规程。漏洞评估的目标,是识别和量化环境中的安全漏洞。现有软件扫描器可用来评估公司企业的安全态势,识别已知安全空白,提出恰当的风险缓解动作建议——要么清除之,要么至少将之降至可接受的风险水平。

漏洞评估过程通常会索引企业所有的资产,基于商业价值和潜在影响为资产分类,然后识别与每一种资产相关联的已知漏洞。最后一步,涉及到针对具最高潜在商业影响的资产进行关键漏洞缓解操作。发现的问题越多越好。

然而,“真正”的漏洞管理过程中,关注由漏洞扫描器发现的已知漏洞,还只是万里长征的第一步。若不将漏洞放到利用环境下考虑,修复资源通常会摆错地方。为更好地优先处理缓解动作,最好先确定特定漏洞到底是可利用还是不可利用。缺了这一步,不仅仅会造成金钱上的浪费,更重要的是,会给***留下更长的窗口时间和机会来利用高危漏洞。最后,我们的目标是,缩短***者利用软件缺陷的窗口时间。

最好记得:漏洞扫描器是基于已知漏洞列表提交结果的,意味着这些漏洞早已被安全专业人士、网络***者和厂商社区熟知。不幸的是,世界上不仅仅有已知漏洞,野生的未知漏洞也很多,而扫描器并不能发现它们。

除了将企业的内部安全情报放到外部威胁数据环境中考量,越来越多的企业还在进行***测试以确定漏洞的可利用性。***测试是由道德***执行,模拟恶意外部/内部网络***者的行为。***测试的目标,是暴露出安全空白,然后分析这些空白的风险性,确定一旦此漏洞被利用将会有何种类型的信息被泄露。***测试结果通常包含漏洞的严重性、可利用性和相关缓解操作。道德***通常使用自动化工具,比如Metasploit等,还有一些甚至会写他们自己的漏洞利用工具包。

为拼出漏洞谜题,公司企业需要进行全面的风险分析,将所有影响因素都纳入考虑范围,比如资产关键性、漏洞、外部威胁、可达性、可利用性和商业影响等。

最后,漏洞评估、***测试和网络风险分析必须携手共进以降低网络安全风险。




这篇关于***测试和漏洞评估的真相的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程