人們常會把漏洞評估和滲透測試搞混。事實上，這倆術語確實往往交替使用，但，它倆之間其實是天壤之別。為強化公司的網絡風險態(tài)勢，不單單需要測試漏洞，還需要評估漏洞是否可被切實利用，以及它們代表著什么風險。而增強公司對網絡攻擊的彈性，則需要理解漏洞評估、滲透測試和網絡風險分析之間的內部聯(lián)系。

漏洞評估已成為當今動態(tài)威脅態(tài)勢下的主流安全實踐。利用漏洞掃描器，無論是針對網絡的、應用的還是數(shù)據(jù)庫的，對很多大型終端用戶公司而言早已是標準規(guī)程。漏洞評估的目標，是識別和量化環(huán)境中的安全漏洞�，F(xiàn)有軟件掃描器可用來評估公司企業(yè)的安全態(tài)勢，識別已知安全空白，提出恰當?shù)娘L險緩解動作建議——要么清除之，要么至少將之降至可接受的風險水平。

漏洞評估過程通常會索引企業(yè)所有的資產，基于商業(yè)價值和潛在影響為資產分類，然后識別與每一種資產相關聯(lián)的已知漏洞。最后一步，涉及到針對具最高潛在商業(yè)影響的資產進行關鍵漏洞緩解操作。發(fā)現(xiàn)的問題越多越好。

然而，“真正”的漏洞管理過程中，關注由漏洞掃描器發(fā)現(xiàn)的已知漏洞，還只是萬里長征的第一步。若不將漏洞放到利用環(huán)境下考慮，修復資源通常會擺錯地方。為更好地優(yōu)先處理緩解動作，最好先確定特定漏洞到底是可利用還是不可利用。缺了這一步，不僅僅會造成金錢上的浪費，更重要的是，會給黑客留下更長的窗口時間和機會來利用高危漏洞。最后，我們的目標是，縮短攻擊者利用軟件缺陷的窗口時間。

最好記得：漏洞掃描器是基于已知漏洞列表提交結果的，意味著這些漏洞早已被安全專業(yè)人士、網絡攻擊者和廠商社區(qū)熟知。不幸的是，世界上不僅僅有已知漏洞，野生的未知漏洞也很多，而掃描器并不能發(fā)現(xiàn)它們。

除了將企業(yè)的內部安全情報放到外部威脅數(shù)據(jù)環(huán)境中考量，越來越多的企業(yè)還在進行滲透測試以確定漏洞的可利用性。滲透測試是由道德黑客執(zhí)行，模擬惡意外部/內部網絡攻擊者的行為。滲透測試的目標，是暴露出安全空白，然后分析這些空白的風險性，確定一旦此漏洞被利用將會有何種類型的信息被泄露。滲透測試結果通常包含漏洞的嚴重性、可利用性和相關緩解操作。道德黑客通常使用自動化工具，比如Metasploit等，還有一些甚至會寫他們自己的漏洞利用工具包。

為拼出漏洞謎題，公司企業(yè)需要進行全面的風險分析，將所有影響因素都納入考慮范圍，比如資產關鍵性、漏洞、外部威脅、可達性、可利用性和商業(yè)影響等。

最后，漏洞評估、滲透測試和網絡風險分析必須攜手共進以降低網絡安全風險。

天下數(shù)據(jù)高級滲透測試服務，針對安卓應用,iOS應用,網頁應用,微信服務號,小程序等提供專門的檢測方案,層層滲透；天下數(shù)據(jù)高級滲透測試,Web應用全面檢測,蛛絲馬跡絕不遺漏。如果您需要高級滲透測試服務，可以聯(lián)系天下數(shù)據(jù)客服！電話：400-6388-808

本文鏈接：http://m.51huadong.com/cloundnews/11003110.html