人們常會(huì)把漏洞評(píng)估和滲透測(cè)試搞混。事實(shí)上，這倆術(shù)語(yǔ)確實(shí)往往交替使用，但，它倆之間其實(shí)是天壤之別。為強(qiáng)化公司的網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)，不單單需要測(cè)試漏洞，還需要評(píng)估漏洞是否可被切實(shí)利用，以及它們代表著什么風(fēng)險(xiǎn)。而增強(qiáng)公司對(duì)網(wǎng)絡(luò)攻擊的彈性，則需要理解漏洞評(píng)估、滲透測(cè)試和網(wǎng)絡(luò)風(fēng)險(xiǎn)分析之間的內(nèi)部聯(lián)系。

漏洞評(píng)估已成為當(dāng)今動(dòng)態(tài)威脅態(tài)勢(shì)下的主流安全實(shí)踐。利用漏洞掃描器，無(wú)論是針對(duì)網(wǎng)絡(luò)的、應(yīng)用的還是數(shù)據(jù)庫(kù)的，對(duì)很多大型終端用戶(hù)公司而言早已是標(biāo)準(zhǔn)規(guī)程。漏洞評(píng)估的目標(biāo)，是識(shí)別和量化環(huán)境中的安全漏洞?，F(xiàn)有軟件掃描器可用來(lái)評(píng)估公司企業(yè)的安全態(tài)勢(shì)，識(shí)別已知安全空白，提出恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩解動(dòng)作建議——要么清除之，要么至少將之降至可接受的風(fēng)險(xiǎn)水平。

漏洞評(píng)估過(guò)程通常會(huì)索引企業(yè)所有的資產(chǎn)，基于商業(yè)價(jià)值和潛在影響為資產(chǎn)分類(lèi)，然后識(shí)別與每一種資產(chǎn)相關(guān)聯(lián)的已知漏洞。最后一步，涉及到針對(duì)具最高潛在商業(yè)影響的資產(chǎn)進(jìn)行關(guān)鍵漏洞緩解操作。發(fā)現(xiàn)的問(wèn)題越多越好。

然而，“真正”的漏洞管理過(guò)程中，關(guān)注由漏洞掃描器發(fā)現(xiàn)的已知漏洞，還只是萬(wàn)里長(zhǎng)征的第一步。若不將漏洞放到利用環(huán)境下考慮，修復(fù)資源通常會(huì)擺錯(cuò)地方。為更好地優(yōu)先處理緩解動(dòng)作，最好先確定特定漏洞到底是可利用還是不可利用。缺了這一步，不僅僅會(huì)造成金錢(qián)上的浪費(fèi)，更重要的是，會(huì)給黑客留下更長(zhǎng)的窗口時(shí)間和機(jī)會(huì)來(lái)利用高危漏洞。最后，我們的目標(biāo)是，縮短攻擊者利用軟件缺陷的窗口時(shí)間。

最好記得：漏洞掃描器是基于已知漏洞列表提交結(jié)果的，意味著這些漏洞早已被安全專(zhuān)業(yè)人士、網(wǎng)絡(luò)攻擊者和廠商社區(qū)熟知。不幸的是，世界上不僅僅有已知漏洞，野生的未知漏洞也很多，而掃描器并不能發(fā)現(xiàn)它們。

除了將企業(yè)的內(nèi)部安全情報(bào)放到外部威脅數(shù)據(jù)環(huán)境中考量，越來(lái)越多的企業(yè)還在進(jìn)行滲透測(cè)試以確定漏洞的可利用性。滲透測(cè)試是由道德黑客執(zhí)行，模擬惡意外部/內(nèi)部網(wǎng)絡(luò)攻擊者的行為。滲透測(cè)試的目標(biāo)，是暴露出安全空白，然后分析這些空白的風(fēng)險(xiǎn)性，確定一旦此漏洞被利用將會(huì)有何種類(lèi)型的信息被泄露。滲透測(cè)試結(jié)果通常包含漏洞的嚴(yán)重性、可利用性和相關(guān)緩解操作。道德黑客通常使用自動(dòng)化工具，比如Metasploit等，還有一些甚至?xí)?xiě)他們自己的漏洞利用工具包。

為拼出漏洞謎題，公司企業(yè)需要進(jìn)行全面的風(fēng)險(xiǎn)分析，將所有影響因素都納入考慮范圍，比如資產(chǎn)關(guān)鍵性、漏洞、外部威脅、可達(dá)性、可利用性和商業(yè)影響等。

最后，漏洞評(píng)估、滲透測(cè)試和網(wǎng)絡(luò)風(fēng)險(xiǎn)分析必須攜手共進(jìn)以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。