上半年的陸陸續續的網路安全事件都結束了,來到了下半年的時間又要重新開始遠程。最近有趣的是我一個朋友前幾天去面試的時候,
技術面試的時候被一個簡單的問題直接給刷下來了,
滲透測試與
漏洞掃描有什么區別?當時我一聽也有點懵逼,說實話對於一個剛入門的小白來說,這兩者之間的區別可能其中的一二三,換作當時的我也會給面試官說這兩者不一樣嗎?反正都是發現漏洞、利用漏洞、拿服務器webshell、提權、內網滲透、權限維持等。但是如果這樣給技術回答就會像我哥們一樣被刷下來了,如果遇到心善的面試官也許會把你留下先觀察觀察。下面我們來淺談一下這兩者的區別。
下面小白從以下幾點來總結一下滲透測試和漏洞掃描的區別:
1)概念
2)工作流程
3)性質
4)消耗成本以及事件
一、概念
滲透測試:滲透測試並沒有一個標准的定義,國外一些安全組織達成共識的通用說法;通過模擬惡意
黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動的主動分析,這個分析是從一個攻擊者可能存在的位置來及進行的,並且從這個位置有條件主動利用安全漏洞。
滲透測試有兩個顯著特點:1、滲透測試是一個漸進的並且逐步深入的過程,由淺入深,一步一步的刺向目標的心臟,就是所謂的奪取靶機。2、滲透測試一方面從攻擊者的角度,檢驗業務系統的安全防護措施是否有效,各項安全策略是否得到慣切實施,另一方面滲透測試會將潛在的安全風險以真實事件的方式凸顯出來,滲透測試結束后,編寫滲透測試報告反饋給客戶,立即進行安全加固,解決測試發現的安全問題。
滲透測試通常分為
黑盒測試、白盒測試、灰盒測試。至於這三種之間的區別,小白在這就不一一敘述了。
反過來看一下漏洞掃描的含義,漏洞掃描簡稱漏掃是指基於漏洞
數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的的一種安全檢測安全脆弱性進行檢測,發現可利用漏洞的一種安全檢測。漏掃的工具我們在工作中一般都是使用NESSUS、awvs、OpenVAS、NetSparker、OWASP ZAP等工具。一般的漏洞掃描分為網絡掃描和主機掃描。通過漏洞掃描,掃描者能夠發現遠端網絡或主機的配置信息、TCP/UDP端口的分配、提供的網絡服務、服務器的具體信息等。
二、工作流程
滲透測試的一般過程主要有明確目標、信息收集、漏洞探測、漏洞驗證、信息分析、獲取所需、信息整理、形成測試報告。滲透測試操作難度大,而且滲透測試的范圍也是有針對性的,而且是需要人為參與。聽說過漏洞自動化掃描,但你絕對聽不到世界上有自動化滲透測試。滲透測試過程中,信息安全滲透人員小使用大量的工具,同時需要非常豐富的專家進行測試,不是你培訓一兩月就能實現的。
漏洞掃描是在網絡設備中發現已經存在的漏洞,比如防火牆,路由器,交換機服務器等各種應用等等,該過程是自動化的,主要針對的是網絡或應用層上潛在的及已知漏洞。漏洞的掃描過程中是不涉及到漏洞的利用的。漏洞掃描在全公司范圍進行,需要自動化工具處理大量的資產。其范圍比滲透測試要大。漏洞掃描產品通常由系統管理員或具備良好網絡知識的安全人員操作,想要高效使用這些產品,需要擁有特定於產品的知識。
漏洞掃描主要通過ping掃描、端口掃描、OS探測、脆弱性探測、防火牆掃描五種主要技術,其中每一種技術實現的目標和運用的原理都是不相同的,ping掃描工作在
互聯網層;端口掃描、防火牆探測工作在傳輸層;OS探測、脆弱性探測工作在互聯網測試層、傳輸層、應用層。ping掃描主要是確定主機的IP地址,端口掃描探測目標主機的端口開放情況,然后基於端口掃描的結果,進行OS探測和脆弱點掃描。
一般大型公司會采購自動化的漏洞掃描產品,每天或者每周都能定期的進行漏洞掃描,類似於在電腦上安裝殺毒軟件,每天只需要掃一掃就可以,定期的進行殺毒。而滲透測試的在新產品上線,或者發現公司有非常重要的數據在服務器上,害怕泄露,被竊取,讓專業的安全廠商,定期進行人工的滲透測試。
可見兩者並不是獨立存在的,也是需要結合使用,才能達到最佳的效果,確保公司的信息化安全。
三、性質
滲透測試的侵略性要強很多,它會試圖使用各種技術手段攻擊真實生產環境;相反,漏洞掃描只會以一種非侵略性的方式,仔細地定位和量化系統的所有漏洞。
我們可以結合案例來說一下漏洞掃描與滲透測試的區別:
這里我們已Nessus為例做漏洞掃描測試,現在的Nessus掃描的IP地址的個數做了限制,貌似只能掃描16個主機IP,但是小白我在朋友的幫助下搞到了一個Nessus的虛機版本。首先先本地打開https://192.168.205.149:8834,Nessus登陸的端口一般是8834,小白我本地掃描了一下我的虛機主機。
掃描的結果可以導出來進行本地查看的:
以上就是Nessus漏洞掃描的步驟,一般會發現主機開啟的端口、運行的服務、系統漏洞、溢出漏洞、中間件(低版本的會輸出中高低漏洞標識)、ssl版本低的問題,這些漏掃主要的輸出成果。就如同上述所說漏洞掃描是仔細地定位和量化系統的所有漏洞,而滲透測試則是利用各種攻擊手段(在授權的情況下)對真實環境或者測試環境進行攻擊。不限於社會工程學。相比漏洞掃描要做的工作多的多。
一般做漏洞掃描在內網做的比較多,客戶給你主機資產列表,然后你根據資產列表的ip地址添加到漏洞掃描設備中進行自動化的掃描。而滲透測試(白盒、黑盒、灰盒),我在滲透測試中主要做黑盒測試,相比大家都知道黑盒測試前期是非常枯燥的,需要自己去尋找目標的相關資產。比如挖子域名、跑敏感目錄、掃端口等,前期收集信息的多少就決定后期滲透的程度。一般的滲透測試報告輸出格式為一下:
四、消耗成本以及時間
相比大家都知道滲透測試與漏洞掃描的成本以及消耗的時間,一般來說滲透測試需要前期的各種准備工作,前期信息資產收集的越全面,后期的滲透就會越深入,不僅是一個由淺入深的過程,更是一個連鎖反應;相比漏洞掃描這個消耗的時間就要小的多了。之前我們在對客戶做滲透和漏掃進行報價的時候都會遇到客戶抱怨滲透比漏掃花費的經費高好幾倍。但是通過介紹滲透測試的流程也就不覺得價格高,畢竟前期投入的大量人力、物力以及最后輸出的成果。一個項目周期的話滲透測試次數一般在2-4次,新的業務上線這個是必做的。漏洞掃描一般都是定時自動化掃描的。
總而言之,漏洞掃描和滲透測試二者結合,才能得到最佳的效果,幫助確定最適合於公司、部門或實踐的控制措施——無論是漏洞掃描還是滲透測試都非常重要,應用於不同的目的,產生不同的結果。
本文轉載自旺達,作者:cmdgaga