风险评估、漏洞评估与渗透测试

为什么这些概念容易混淆，以及您需要了解的内容！

几乎每周都有客户联系我要求进行渗透测试。然而，他们真正需要的往往是漏洞扫描。或者，他们要求进行漏洞扫描，但实际上需要的是风险评估。

我不知道这种混淆是如何开始的，但我知道这不是客户的错。通常情况下，当我向客户索要其风险评估报告时，得到的是漏洞扫描结果。是谁把漏洞扫描称为风险评估？大多数时候，是那些本应更了解情况的IT（信息技术）或IS（信息安全）供应商。

除非某人是CISM（认证信息安全经理）*，否则我不能确信"风险评估"这个术语会被准确使用。

这三种评估类型之间存在一些重叠。风险评估必须包含任何漏洞评估或渗透测试的结果摘要。渗透测试是漏洞扫描的高度专业化子集，既模拟又利用针对组织的各种攻击形式。

在信息安全领域，清晰准确的沟通至关重要。让我们快速了解这些术语之间的基本区别。

风险评估概述

不使用扫描软件完成，输出不是漏洞列表
由信息安全专业人员执行，而非IT专业人员
高层管理人员和IT管理层都会使用输出结果
以IT为中心，但也包含非IT元素（如物理安全、政策、第三方风险，甚至一些人力资源主题，如心怀不满的员工共享知识产权或IT配置的风险）
关注面临风险的关键业务流程
根据组织的"风险承受能力"输出优先行动列表

漏洞评估

使用Nessus或OSINT（开源情报）工具等扫描软件
由IT专业人员或信息安全专业人员执行
主要由IT部门使用，汇总结果向管理层报告
以IT为中心，主要包括内部和外部网络的基于网络的扫描
围绕错误配置的设备，如防火墙、操作系统和物联网设备
可操作项目包括修补操作系统、更新防火墙策略、网络重新配置，以及基于模式或行为的安全软件升级

渗透测试

根据参与范围使用各种高度专业化的工具或程序
由经过专门培训的信息安全专业人员子集执行，专门研究挫败和绕过安全系统、对策以及培训不足的员工
结果向IT管理层报告，如果行业或政府要求测试，可能向外部机构报告；如果是"黑盒"测试，可能只向高层管理层报告
围绕预定范围内的可疑漏洞；可能包括非IT元素，如物理安全、第三方风险和人为因素漏洞
针对技术控制或员工政策被成功渗透的特定领域的可操作项目；与漏洞评估类似，可能包括修补操作系统、更新防火墙策略、网络重新配置，或像风险评估一样，可能涉及政策或员工培训

风险评估与漏洞评估的共同点

最好由独立的第三方安全公司合作完成
通常在IT和其他组织角色或部门人员的充分合作下公开进行

风险评估与渗透测试的共同点

需要经过专门培训和经验丰富的专业人员，超越扫描工具的使用
几乎总是由独立的第三方公司完成
可能包含大量人为因素主题和范围

其他有趣事实

渗透测试在好莱坞影视作品中获得了所有黑客活动的信誉，因此这往往是普通人首先接触到的内容。

风险评估和漏洞评估对所有规模的组织都至关重要，您只需阅读新闻头条就能看到这些问题是如何升级的。

除了典型的IT知识和经验外，只需很少的培训，任何人都可以使用现成的廉价工具进行漏洞评估。然而，正确解释结果并确保没有漏洞确实需要信息安全经验。

独立进行或至少独立管理的漏洞评估更有可能发现IT部门未知的漏洞。

风险评估：理解最容易被误解的评估

为什么风险很重要？

风险管理是确保威胁利用漏洞的影响在可接受的成本范围内处于可接受限度内并与组织目标保持一致的过程。它是信息安全的基本功能，并为几乎所有信息安全活动提供理由和依据。

成功风险评估最关键的前提是了解组织。如果您的组织有ISO级别的BCP（业务连续性计划），您应该已经进行了风险评估。然而，超过50%的情况下，当组织说他们有BCP时，实际上并没有。他们可能有灾难恢复计划、事件恢复计划，或者可能从不可靠来源下载了一些廉价模板。

正式的风险评估（通常基于NIST 800-53/ISO 27001）将面向大型组织，包括ALE（年度损失预期）、基于资产价值的排名风险水平和因素。

Cadre信息安全公司有一个基于NIST的非正式风险评估。我们的评估使用通俗语言，不包括ALE。但它确实以一小部分的成本和时间为中小型企业提供了正式风险评估的主要可操作好处。

风险评估的输出：停止猜测需要哪些安全产品以及花费多少

组织使用的每个信息安全控制措施，从防火墙到反恶意软件，其存在、范围和成本都应由风险来证明其合理性。“适合使用"和"适合目的"的控制评估确保您可以将控制措施与它们减轻的风险联系起来，消除关于这些控制措施的充分性、理由或适当成本和责任的任何猜测。

良好的风险评估为增强组织安全性提供明确指导。除了正式输出外，风险评估还为以下方面提供总体理由：

信息安全政策
信息安全控制措施
安全意识计划设计
安全与业务流程的一致性
通过数据驱动的发现为网络安全投资提供理由
为董事会、C级高管、人力资源、IT和法律顾问提供可操作的见解
组织范围内的认同和安全孤岛的减少

安全是每个人的职责，而不仅仅是IT部门的职责；尽职调查和应有谨慎的证据

董事会、高级管理人员和监督框架通常需要尽职调查和/或应有谨慎的证据，以满足政策或监管要求，避免可能的诉讼问题，或履行组织章程中规定的职责。

您不知道的事情可能会伤害您！

差距分析，比较风险与控制措施以及其他缓解措施，为您提供了所需的地图，不仅可以找到物理控制措施中的差距，还可以找到政策和培训中的差距。

执行简报、报告模板和核心业务实践的清晰管理。高管需要了解他们负责的风险和缓解措施。风险到缓解的简报是记录和传达此信息最有效的方式之一。

网络安全保险、第三方和安全自我报告。如果没有风险评估，您可能会无法满足保险公司、供应商或合作伙伴的安全问卷要求。

危险信号

您是否购买了不是风险评估的"风险评估”？以下是一些可能表明您没有真正风险评估的危险信号：

没有风险列表，无法分配反应（缓解、避免、转移、接受）——要完整，风险评估必须允许您决定对每个风险采取什么措施。这应该使用通俗语言，以便组织管理层能够对每个风险做出清晰准确的决定。这些决定由所有领导层做出，而不仅仅是IT部门
您有一个缺少补丁的操作系统列表。风险评估可能会声明您有过时和未打补丁的操作系统，但除了附加文件（如附录）外，不会提供详细信息。请记住，非技术决策者需要能够阅读风险评估
没有IT设备之外的风险。风险评估的范围涵盖整个组织。它将包括政策、人为因素问题以及与其他组织的关系，如第三方互动
评估仅使用软件工具完成。风险评估必须包括对政策、工作流程、培训、风险承受能力、业务流程以及其他需要采访组织关键利益相关者的因素的理解

总结

风险评估、漏洞评估和渗透测试都是任何良好商业实践的关键要素，而且它们变得越来越重要。理解这些术语以及每种评估的质量、好处和后果对于良好的政策和组织安全管理至关重要。

我希望这篇文章能够有所启发并证明有用！

要了解有关非正式风险评估的更多信息，请参阅简明指南。点击了解有关Cadre评估的更多信息。

请随时通过Tim.OConnor@Cadre.net与我联系，在…阅读我过去和未来的文章，或在LinkedIn上关注我。

关键术语：

业务连续性计划：一个ISO框架计划，帮助组织在重大事件（如网络攻击）中生存下来，不会倒闭或遭受对商业实践或声誉的不当损害。这将包括DRP（灾难恢复计划）、BIA（业务影响分析）和风险评估，但它不是DRP、BIA或风险评估。

业务影响分析：衡量随着时间的推移业务流程损失的影