漏洞评估

漏洞评估用于找出目标网络上的漏洞。 通过使用一些自动扫描工具和一些手动支持，可以识别漏洞和威胁。 该工具将对这些漏洞进行分类。 当漏洞被分类后，安全专业人员会对这些漏洞进行优先级排序，他们会决定哪个漏洞应该先修复。 他们将决定他们应该降低风险级别，或者他们应该消除弱点。 市场上有很多好的工具。 具有适当范围的漏洞扫描可以发现有关环境的很多信息，包括应用程序中的常见弱点、未应用的补丁、网络控制中的差距、漏洞软件版本。 使用漏洞扫描工具，安全团队可以提供有关如何通过配置更改、补丁管理或强化安全基础设施来准确修复漏洞的建议。

漏洞评估过程

• 漏洞扫描器自动发现我们环境中的所有资产。
• 在基础设施、网络和应用程序中，搜索和识别各种漏洞。
• 根据风险和优先级识别漏洞。
• 安全专业人员通过配置更改、补丁管理或强化安全基础设施来修复漏洞。

渗透测试

渗透测试用于找出特定网络的漏洞。 渗透测试确定漏洞是否真实。 如果渗透测试人员利用了潜在的漏洞点，则该漏洞将被视为真实并在报告中反映出来。 如果他们无法找到漏洞点，该报告将显示无法利用的理论漏洞。 如果我们利用理论漏洞，会导致 Dos 攻击。 这意味着它会威胁网络，因此利用理论漏洞不是一个好主意。 渗透测试人员尝试通过在客户的计算机上安装恶意软件或关闭服务器，或未经授权访问客户的系统来损害客户的网络。 此步骤不包含在漏洞评估中。

渗透测试过程

• 收集开源情报
• 扫描和发现
• 识别漏洞
• 攻击阶段
• 风险分析
• 发送报告

漏洞评估和渗透测试之间的区别

漏洞扫描和渗透测试彼此不同。 渗透测试可以利用漏洞，而漏洞扫描则识别漏洞的等级并报告。 漏洞评估和渗透测试之间的区别如下

广度与深度

漏洞覆盖率（广度和深度）是渗透测试和漏洞评估之间的主要区别。

漏洞评估会尽可能多地检测安全弱点。 这是一种广度大于深度的方法。 为了维护网络的安全性，应定期采取安全措施；尤其是在打开端口、添加新服务和安装新设备时。

当客户断言其网络的安全性很强，但他们想检查其是否防黑客时，可以使用渗透测试。 这是一种深度大于广度的方法。

自动化程度

漏洞评估允许更广泛的漏洞覆盖范围。 它通常是自动化的。

渗透测试有助于更深入地挖掘弱点。 它是手动和自动化技术的结合。

专业人士的选择

在漏洞评估中，自动化测试不需要高技能。 安全部门成员也可以执行它。 但是，公司的安全员工可能会发现一些漏洞，但他们无法将其包含在报告中。 因此，第三方漏洞评估供应商拥有更多信息。

要执行渗透测试，我们需要高水平的专家。 渗透测试服务提供商始终将其外包。

供应商的选择

渗透测试和漏洞评估的区别表明，这两种安全测试都是保护网络安全的专家。

漏洞评估用于维护安全。

渗透测试发现安全漏洞。

只有当你聘请了一家能够理解渗透测试和漏洞评估的高质量供应商，才能充分利用渗透测试和漏洞评估。 但最重要的是，供应商应该能够将漏洞评估和渗透测试之间的区别转化给客户。