风险评估、漏洞评估与渗透测试的区别解析

本文详细解析了风险评估、漏洞评估和渗透测试三种安全评估方法的区别与联系,帮助企业正确选择适合自身需求的安全评估方案,提升整体信息安全防护能力。

风险评估、漏洞评估与渗透测试

为什么这些概念容易混淆,以及您需要了解的内容!

几乎每周都有客户联系我要求进行渗透测试。然而,他们真正需要的往往是漏洞扫描。或者,他们要求进行漏洞扫描,但实际上需要的是风险评估。

我不知道这种混淆是如何开始的,但我知道这不是客户的错。很多时候,当我向客户索要他们的风险评估报告时,得到的却是漏洞扫描结果。是谁把漏洞扫描称为风险评估?大多数情况下,是那些本应更清楚的IT(信息技术)或IS(信息安全)供应商。

现在,除非某人是CISM(认证信息安全经理)*,否则我不能确信"风险评估"这个术语会被准确使用。

这三种评估类型之间存在一些重叠。风险评估必须包含任何漏洞评估或渗透测试的结果摘要。渗透测试是漏洞扫描的高度专业化子集,既模拟又利用针对组织的各种攻击形式。

在IS中,清晰准确的沟通至关重要。让我们快速了解这些术语之间的基本区别。

风险评估概述

  • 不使用扫描软件完成,输出不是漏洞列表
  • 由IS专业人员执行,而非IT专业人员
  • 高层管理人员以及IT管理层使用输出结果
  • 以IT为中心,但也包含非IT元素(例如物理安全、政策、第三方风险,甚至一些人力资源主题,如心怀不满的员工共享知识产权或IT配置的风险)
  • 关注面临风险的关键业务流程
  • 输出基于组织"风险偏好"的优先行动列表

漏洞评估

  • 使用Nessus或OSINT(开源情报)工具等扫描软件
  • 由IT专业人员或IS专业人员执行
  • 主要由IT部门使用,汇总结果向管理层报告
  • 以IT为中心,主要包括内部和外部网络的基于网络的扫描
  • 关注配置错误的设备,如防火墙、操作系统和IoT(物联网)设备
  • 可操作项包括修补操作系统、更新防火墙策略、网络重新配置,以及基于模式或行为的安全软件升级

渗透测试

  • 根据参与范围使用各种高度专业化的工具或程序
  • 由具有绕过安全系统、对策和培训不足员工专业培训的IS专业人员子集完成
  • 结果向IT管理层报告,如果行业或政府要求测试,可能向外部机构报告。如果属于"黑盒"测试,报告可能仅向高层管理层提供
  • 关注预定范围内的可疑漏洞。可能包括非IT元素,如物理安全、第三方风险和人为因素漏洞
  • 针对技术控制或员工政策被成功渗透的特定区域的可操作项。与漏洞评估类似,可能包括修补操作系统、更新防火墙策略、网络重新配置,或像风险评估一样,可能涉及政策或员工培训

风险评估与漏洞评估的共同点

  • 最好由独立的第三方安全公司或与其合作完成
  • 通常在IT和其他组织角色或部门人员的充分合作下公开进行

风险评估与渗透测试的共同点

  • 需要经过专门培训和经验丰富的专业人员,超越扫描工具的使用
  • 几乎总是由独立的第三方公司完成
  • 可能包含大量人为因素主题和范围

其他有趣事实

  • 渗透测试在好莱坞节目和电影中的黑客活动中获得所有赞誉,因此这往往是普通人首先接触到的内容
  • 风险评估和漏洞评估对所有规模的组织都至关重要,您只需阅读新闻头条就能看到这些问题如何升级
  • 除了典型的IT知识和经验外,只需很少的培训,任何人都可以使用现成的廉价工具进行漏洞评估。然而,正确解释结果并确保没有漏洞确实需要IS经验
  • 独立进行或至少独立管理的漏洞评估更有可能发现IT部门未知的漏洞

风险评估:理解最被误解的评估

为什么风险很重要?

风险管理是确保威胁利用漏洞的影响在可接受的成本范围内处于可接受限度内并与组织目标保持一致的过程。它是IS的基本功能,为几乎所有IS活动提供了理由和依据。

成功风险评估最关键的前提是了解组织。如果您的组织有ISO级别的BCP(业务连续性计划),您应该已经进行了风险评估。然而,超过50%的情况下,当组织说他们有BCP时,实际上并没有。他们可能有一个灾难恢复计划、事件恢复计划,或者可能从非信誉来源下载了一些廉价模板。

正式的风险评估(通常基于NIST 800-53/ISO 27001)将面向大型组织,包括ALE(年度损失预期)、基于资产价值的排名风险水平和因素。

Cadre信息安全有一个基于NIST的非正式风险评估。我们的评估使用通俗语言,不包括ALE。但它确实以一小部分成本和时间为SMB(中小型企业)提供了正式风险评估的主要可操作好处。

风险评估的输出:停止猜测您需要什么安全产品以及花费多少

组织使用的每个IS控制措施,从防火墙到反恶意软件软件,其存在、范围和成本都应由风险证明合理性。“适合使用"和"适合目的"的控制评估确保您可以将控制措施与它们减轻的风险联系起来,消除关于这些控制措施的充分性、理由或适当成本和责任的任何猜测。

良好的风险评估为增强组织安全性提供明确指导。除了正式输出外,风险评估还为以下内容提供总体理由:

  • IS政策
  • IS控制措施
  • 安全意识计划设计
  • 安全与业务流程的对齐
  • 基于数据发现的网络安全投资理由
  • 为董事会、C级高管、人力资源、IT和法律顾问提供可操作的见解
  • 组织范围内的认同和安全孤岛的减少

安全是每个人的职责,而不仅仅是IT;尽职调查和尽职关怀的证据

董事会、高级管理人员和监督框架通常需要尽职调查和/或尽职关怀的证据,以满足政策或监管要求,避免可能的诉讼问题,或履行组织章程中规定的职责。

您不知道的事情可能会伤害您!

差距分析,比较风险与控制措施和其他缓解措施,为您提供了所需的地图,不仅可以在物理控制措施中找到差距,还可以在政策和培训中找到差距。

执行简报、报告模板和核心业务流程的清晰管理

高管需要了解他们负责的风险和缓解措施。风险到缓解的简报是记录和传达此信息最有效的方式之一。

网络安全保险、第三方和安全自我报告

如果没有风险评估,您可能会无法满足保险公司、供应商或合作伙伴的安全问卷要求。

危险信号

您是否被出售了不是风险评估的"风险评估”?

以下是一些可能表明您没有真正风险评估的危险信号:

  • 没有风险列表且无法分配反应(缓解、避免、转移、接受)的风险评估必须完整,必须允许您决定对每个风险采取什么措施。这应该使用通俗语言,以便组织管理层可以对每个风险做出清晰准确的决定。这些决定由所有领导层做出,而不仅仅是IT
  • 您有一个缺少补丁的操作系统列表。风险评估可能声明您有过时和未修补的操作系统,但除了附加文档(如附录)外,不会提供详细细节。请记住,风险评估需要能够被非技术决策者阅读
  • 没有IT设备以外的风险。风险评估的范围涵盖整个组织。它将包括政策、人为因素问题以及与其他组织的关系,如第三方互动
  • 评估仅使用软件工具完成。风险评估必须包括对政策、工作流程、培训、风险偏好、业务流程以及其他需要采访组织中关键利益相关者的因素的理解

总结

风险评估、漏洞评估和渗透测试都是任何良好商业实践的关键要素,而且它们每天都变得更加重要。理解这些术语以及每种评估的质量、好处和后果对于良好的政策和组织安全管理至关重要。

我希望这篇文章具有启发性并能证明有用!

要了解有关非正式风险评估的更多信息,这里有一个简明指南。点击了解有关Cadre评估的更多信息。

请随时通过Tim.OConnor@Cadre.net与我联系,在…阅读我过去和未来的文章,或在LinkedIn上关注我。

关键术语:

业务连续性计划:一个ISO框架计划,帮助组织在重大事件(如网络攻击)中生存下来,不会停业或对业务实践或声誉造成不应有的损害。这将包括DRP(灾难恢复计划)、BIA(业务影响分析)和风险评估,但它不是DRP、BIA或风险评估。

业务影响分析:衡量业务流程随时间损失的 impact。

风险:威胁利用可能影响业务功能的漏洞的可能性。

风险评估:发现关键业务流程的风险并衡量影响和可能性。

安全意识:理解人们故意或意外窃取、损坏或滥用数据的可能性。

漏洞:弱点或缺陷,必须可被利用。

*不要与CISSP(认证信息系统安全专业人员)混淆。

AI没有生成这篇文章。

事实上,这篇文章是在一台粗糙的1982年Apple LISA计算机上起草的,该计算机引入了个人计算机历史上最深刻的进步。

本材料的任何部分不得以任何方式用于或复制用于训练人工智能的目的。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次