企业通常将漏洞扫描视为渗透测试的替代方法。这种认识是错误的。具有网络安全意识的组织必须在其业务流程中包括这两项活动，并确保它们协同工作。错过其中之一会大大降低 Web 应用程序安全性和网络安全性的安全状况。渗透测试和漏洞扫描也被单独视为合规性要求（例如，支付卡行业数据安全标准 – PCI DSS、ISO 27001 或HIPAA合规性）。让我们来看看渗透测试和漏洞扫描之间的主要区别以及它们在网络安全生态系统中的位置。

什么是渗透测试？

在渗透测试期间，受信任的专业人员模仿现实世界中黑帽黑客的活动，并尝试通过手动测试发现潜在的漏洞和错误配置、利用弱点并渗透业务资产。此类测试旨在像网络攻击一样工作，但经过精心准备，不会影响信息安全。这个值得信赖的专业人员，称为 pentester，可能是内部安全团队的一部分，也可能是通过外部公司聘用的。如果渗透测试导致安全漏洞，安全专业人员会提供详细的漏洞评估和渗透测试报告，以便企业可以消除导致漏洞的漏洞。

出于多种原因，企业经常选择外包渗透测试。首先，外部实体对被测系统有更客观的认识。其次，没有多少企业能够找到专门从事渗透测试的安全专业人员，全职聘用他们，并定期为他们提供足够的工作。第三，提供包括风险评估和渗透测试服务在内的全面安全服务的企业拥有更多的经验和更大的专家基础。

渗透测试人员无法自动化他们的工作。他们使用一些安全工具，例如手动漏洞评估和渗透测试工具来执行攻击。他们还可能使用社交工程（包括网络钓鱼）等技术来评估公司员工的安全状况。

渗透测试有时被认为比漏洞扫描更彻底，但实际上，它们涵盖了不同范围的漏洞。渗透测试侧重于无法自动发现的问题，例如业务逻辑漏洞和新漏洞（0day漏洞）。您不能期望漏洞扫描会成为渗透测试的一部分。

赏金与渗透测试

一些公司认为赏金是常规安全测试的一个很好的替代方案。赏金鼓励自由道德黑客尝试破坏您的安全控制，以便他们因此类成功尝试而获得奖励。但是，您不能保证有才华的白帽黑客会知道您的赏金或选择追求它，因此赏金是不可预测的。

赏金不是渗透测试的可行替代方案，但它们是一种有价值的补充。一个有安全意识的企业应该有一个公开披露政策和适当的奖励。但是，还必须定期执行渗透测试。

什么是漏洞扫描？

漏洞扫描是由自动化工具在最少人工协助下执行的活动。按照设计，漏洞扫描应该作为软件开发生命周期的一部分按计划自动执行。这种安全扫描旨在发现已知问题，尽管漏洞测试范围在很大程度上取决于所选的漏洞扫描工具。

漏洞扫描器发现被扫描资产的结构（一些专业工具甚至发现现有资产），然后尝试对该结构的每个元素进行一系列自动化测试。简单的工具仅使用基于签名的扫描，但更高级的工具会尝试进行类似于渗透测试期间进行的攻击。这种漏洞扫描通常被称为自动渗透测试。

专业工具还包括漏洞评估和漏洞管理功能，并与Web 应用程序防火墙等早期缓解技术配合使用。使用此类工具，您可以决定首先需要解决哪些漏洞，还可以监控补救过程。这样，您可以确保快速有效地消除主要安全风险。

多久进行一次安全评估？

一旦企业实施漏洞扫描解决方案，执行此类扫描的频率就没有限制。唯一担心的是此类扫描可能会占用大量资源，因此企业通常选择在下班时间为生产资产执行这些扫描。专业的漏洞扫描解决方案也被集成到软件开发生命周期中，因此可以在每次源代码更改后使用持续集成解决方案执行此类测试。

另一方面，渗透测试非常耗时、昂贵且资源密集。这就是为什么它们通常每隔几个月或以更大的间隔执行一次。