雖然滲透測試和漏洞掃描都是用來評估系統安全的工具,但兩者在方法、目的和深度上都有所不同,剛進行業也常弄混。
漏洞掃描 (Vulnerability Scanning),目的是 找出系統中已知的漏洞。對系統進行全面掃描,比對已知的漏洞資料庫,找出系統存在的漏洞。而,滲透測試 (Penetration Testing),目的是, 模擬駭客攻擊,評估系統的安全性。以測試人員模擬駭客,利用各種技術和工具,主動攻擊系統,尋找漏洞並嘗試入侵。
那麼,為何系統需要做滲透測試和漏洞掃描?簡單來說,滲透測試和漏洞掃描的報告就是一份「健康證」,證明組織的系統是健康的、安全的,並且符合相關的法規和標準。
而報告裡,除了摘要、漏洞詳細資訊、風險評估、建議 (當然不是和你說怎麼改,只會和你說,要參照哪個rule),還會有免責聲明,說明測試的範圍和限制,例如未測試的系統或應用程式。並明確滲透測試團隊的責任,以及組織在修復漏洞方面的責任。另外,還必須用簡單易懂的語言描述複雜的技術問題,也能客觀地評估系統的安全性,不誇大或縮小風險。並針對發現的漏洞提出切實可行的建議,或提供的建議能夠幫助組織快速修復漏洞。雖然,目前沒看到一家給的建議是真的完全可行,所以很多都只是和你說,撞到哪個rule。