隱藏測試和漏洞掃描經常被混淆為同一種服務。問題是，企業往往在他們真正需要的時候使用其中之一。讓我們開門見山，解釋一下其中的區別。

人們經常混淆滲透測試和漏洞掃描，原因很容易看出來。兩者都通過探索系統來尋找 IT 基礎設施中的弱點，方式與真正的黑客相同。然而，兩者之間有一個非常重要的區別。

手動還是自動？

滲透測試是一種手動安全評估，網絡安全專業人員試圖找到一種方法，以破解您的系統。它是一個實踐的、深入的測試，用於評估各種系統的安全控制，包括 Web 應用程序、網絡和雲環境。這種測試可能需要幾個星期才能完成，由於其複雜性和成本，通常每年進行一次。

另一方面，漏洞掃描是由工具自動執行的，這些工具可以直接安裝在您的網絡上，也可以在線訪問。漏洞掃描器在您的系統中運行數千次安全檢查，生成一個漏洞列表並提供補救建議。因此，即使沒有專職的網絡安全專家在你的團隊中，也有可能進行持續的安全檢查。

一次性的還是常態化的？

長期以來，滲透測試一直是許多組織保護自己免受網絡攻擊戰略的重要組成部分，也是在特定時間點發現缺陷的極好方法。但是單獨的滲透測試會使組織在測試之間毫無防禦能力。

長期以來，進行年度滲透測試作為抵禦攻擊者的主要防禦手段，一直是許多組織保護自己免受網絡攻擊戰略的重要組成部分，這是有充分理由的。雖然它肯定比什麼都不做要好，但它確實有一個相當重大的缺點ーー兩次測試之間會發生什麼？

例如，當一個敏感客戶門戶網站的運營 Apache HTTP Server 在一年一度的試用期間發現了一個關鍵的新漏洞時，會發生什麼情況？或者是初級開發人員的安全錯誤配置？如果網絡工程師臨時打開防火牆上的一個端口，將數據庫暴露給互聯網，卻忘記關閉它，該怎麼辦？誰的工作是注意這些問題，如果不加以檢查，可能導致數據洩露或妥協？

需要持續監控

如果沒有對這些問題的持續監視，就無法在攻擊者有機會利用它們之前識別和修復它們。

需要強大實體安全保障的公司常常誇耀自己擁有全天候自動化解決方案，可以一年365天不間斷地阻止攻擊者。那麼，為什麼有些人對待網絡安全的態度會有所不同呢？尤其是平均每天有20個新漏洞被發現。

因此，您可以看到為什麼單獨安排不頻繁的測試是不夠的。這裡有一個簡單的類比: 這就像每年檢查一次你高度安全的房子的鎖，但是讓它無人值守或者不檢查它是否安全，直到你下一年再檢查一次。聽起來很瘋狂，對吧？誰在檢查門是否鎖好了？

使用入侵者這樣的漏洞掃描器進行定期掃描，可以在手動滲透測試之間為組織提供持續的安全覆蓋，從而對手動測試起到補充作用。入侵者的自動掃描儀晝夜不停地運行，一旦出現新的漏洞，就會提醒用戶。

漏洞掃描已經成為各種規模公司的第一選擇，專家手工滲透測試包含在解決方案中，比如入侵者的先鋒作為強大的備份。

只做其中一個是不夠的。值得慶幸的是，人們日益認識到需要一項全年提供保護的戰略。

試用地址：https://codeant.valiantsec.cn/