攻防演练在即：了解以下漏洞扫描VS渗透测试的不同

随着网络攻击变得越来越复杂，企业需要投资更强大的安全解决方案，例如漏洞评估和渗透测试，以保护其数据、声誉和收入。

漏洞扫描可识别网络系统内的已知漏洞、安全控制的缺乏以及常见的错误配置。渗透测试模拟攻击以利用弱点，以证明网络安全的有效性。主要区别在于，漏洞扫描用于防御性和进攻性网络安全策略，而渗透测试本质上是进攻性的。

什么是漏洞扫描？

通过漏洞扫描，工具可通过凭据或默认值登录系统，提供整个系统的地图。在此过程中，扫描会建立库存，然后将列出的所有项目与可能的弱点进行比较。

漏洞扫描的目标是识别网络上发现的漏洞并对其进行分类。扫描本身并不能为企业提供太多信息。真正的价值在于漏洞评估报告。

为了进行此评估，安全专家会审查原始扫描结果并编写一份报告，其中包含调查结果摘要以及补救计划。

您需要在扫描网络之前提前计划，因为这可能会影响系统性能并导致带宽问题。根据所执行的漏洞扫描的类型，这一点尤其正确。由于对操作的潜在影响，建议在标准工作时间之外执行漏洞扫描。

如果您想要进行完整扫描，还应指示员工将工作站留在办公室，打开电源并连接到网络。或者，您可以在每个工作站上安装端点代理。

漏洞扫描的费用是多少？

有许多因素会影响漏洞扫描的成本，包括扫描的环境，例如内部网络或 Web 应用程序。在美国，其价格平均而言，漏洞评估成本在 2,000 美元至 2,500 美元之间，具体取决于扫描的 IP、服务器或应用程序的数量。

基于IP的定价模型

漏洞扫描有多种定价模型。对于网络扫描，安全供应商根据扫描的 IP 数量来定价解决方案的情况并不罕见。

应该多久进行一次漏洞扫描？

虽然每个业务需求都不同，但最佳实践是至少每季度执行一次网络漏洞扫描。但是，根据合规性、基础设施的重大变化以及内部网络安全功能，可能需要每月或每周进行漏洞扫描。

执行漏洞扫描需要多长时间？

漏洞扫描将需要 20 - 60 分钟，具体取决于 IP 数量，而 Web 扫描可能需要长达 2 - 4 小时，甚至更长时间才能完成。扫描可以由网络管理员或内部安全团队自动执行和维护。

执行扫描的频率取决于要扫描的站点范围、网络延迟以及需要检查的系统服务。但是，除非存在特定的合规性、法规、法律或特定行业因素，否则通常每月、每季度或每年进行漏洞扫描。

漏洞扫描工具

用于漏洞扫描的软件工具将根据练习的目标而有所不同。锻炼的类型也会影响所使用的工具。

漏洞扫描工具的示例包括：

Nessus – 是一款超级易于使用的漏洞扫描工具，旨在减少扫描、确定优先级和修复问题所需的总体时间和精力。它的工作原理是单独测试设备中的所有端口来定义其操作系统。然后它会检查操作系统以检查是否有任何已知的漏洞。
OpenVas – 经过巧妙设计，通过扫描所有网络设备和服务器来帮助执行深入的漏洞扫描和管理打包。它的工作原理是选择目标，例如指定的 IP 地址，然后根据首选扫描类型启动扫描以诊断弱点。
Netspark – 是一种安全扫描仪测试工具，用于自动化网站应用程序测试。该软件能够识别跨站点脚本和 SQL 注入攻击。这对于开发人员来说尤其重要，因为他们可以在其网站、Web 服务和 Web 应用程序上使用 Netspark。

什么是渗透测试？

渗透测试涉及一个由安全专业人员组成的团队，他们积极尝试通过利用系统中的弱点和漏洞来闯入您公司的网络。

渗透测试可以包括以下任何一种方法：

使用社会工程黑客技术访问系统和相关数据库。
发送网络钓鱼电子邮件以访问关键帐户。
使用网络中共享的未加密密码访问敏感数据库。

这些尝试可能比漏洞扫描更具侵入性，并且可能导致拒绝服务、增加系统利用率，从而降低生产率并损坏机器。在某些情况下，您可以安排渗透测试并提前通知工作人员。

但是，如果想测试内部安全团队如何响应“实时”威胁，则此方法不适用。重要的是，要以特定的意图进行渗透测试，并与渗透测试团队明确定义您的愿望和需求。

例如，您可能刚刚为企业推出了一个新的网络安全计划，并想测试其有效性。渗透测试可以确定程序的某些目标是否已实现，例如在攻击期间保持 99.99% 的可用性，或确保数据丢失防护 (DLP)系统阻止潜在的攻击者窃取数据。

需要什么类型的渗透？

在进行渗透测试之前需要考虑许多因素。

第一步是明确定义测试的目标和目的。是否试图模拟针对您的防护措施的攻击？是否想模拟内部攻击以查看攻击者可以进入您的网络的访问级别？有合规要求吗？如果有，他们有规格吗？

接下来，您需要进行什么类型的渗透测试？网络、Web 应用程序、客户端、无线、社会工程还是物理？可能需要其他信息，例如用户帐户的凭据、设备数量、用户计数或系统大小的估计，以便提供准确的工作范围 (SOW)。

最后，您需要指定是否需要外部测试或内部测试。大多数行业合规性要求都会在外部和内部进行测试，因为它可以最好地模拟攻击者使用的各种攻击向量。

执行渗透测试需要多长时间？

根据执行的渗透测试的类型、测试的系统数量以及可能的限制，完成渗透测试可能需要大约 1-3 周的时间。如果您正在测试单个流程、应用程序或系统，则可能需要不到一周的时间。

建议每年至少执行 1 – 2 次渗透测试。但是，这取决于业务需求、存储的数据类型以及合规性因素。

渗透测试的费用是多少？

由于流程的复杂程度、成功执行渗透测试所需的资源以及完成报告所需的时间，国外的渗透测试的平均成本可能在 4,000 至 100,000 美元之间。国内报价，因人员能力参差不齐加之内卷严重，报价存在很大问题。一般情况下根据工作复杂度不同，报价从几万到几十万人民币不等。

网络的复杂性、正在执行的测试类型（网络、Web、应用程序）以及使用的工具也将决定价格。

如果在内部执行渗透测试，预计每年为每个安全位置支付 80,000 美元至 130,000 美元，以及与软件购买相关的 3,000 美元至 8,000 美元以上的成本。同样，在国内报价并没有统一的体系，往往安全服务商自主定价。

渗透测试工具

渗透测试将根据练习的目标而有所不同。锻炼的类型也会影响所使用的工具。例如，涉及社会工程攻击的渗透测试可能会使用软件来克隆门禁卡。这将允许“攻击者”进入他们无权进入的建筑物区域。另一方面，测试人员可能使用 John The Ripper 来破解密码哈希。

可能会惊讶地发现，许多用于漏洞扫描的软件工具也兼作渗透测试工具。这个一点也不奇怪，这本就是一个工具，只是掌握在谁手里的问题。所以，安全专业人员会使用 Metasploit 等许多渗透工具来识别缺陷并建立适当的防御。

渗透测试工具的示例包括：

Kali Linux – 是一种流行的Linux发行版渗透测试工具，主要用于高端安全审计和渗透测试。它的工作原理是结合一组强大的内置工具来执行其操作，这些工具在逆向工程安全研究方面表现出色。
Metasploit – 可用于发现漏洞、管理安全评估以及制定防御方法。它的工作原理是编写、测试和执行被利用的代码。它配备了一组强大的工具，在避免破坏、运行攻击、枚举网络和测试目标网络上的漏洞方面非常出色。
Wireshark – 捕获和解释网络包，并提供离线和实时捕获选项。捕获功能使安全专业人员能够分析源协议和目标协议。该工具是开源的，可用于各种系统，包括 Windows、Solaris、FreeBSD 和 Linux。
Burp Suite – 能够自动抓取基于 Web 的应用程序。当尝试收集基于 Web 的应用程序的信息以分析浏览器与其目的地之间的请求时，将使用此工具。付费版本提供高级渗透测试所需的基本功能。