如何最大化和Nessus渗透测试吗
![](http://www.yyueer.com/sites/default/files/images/articles/Maximize%20pen%20tests%20with%20Nessus_header%20image_no%20text.png)
渗透测试和脆弱性的评估成为一个优秀的串联网络安全的方法。
而类似的-有时相互混淆渗透测试和脆弱性评估是明显不同样的事情。有重要的根本差异,实际上允许使用这两个策略。
漏洞评估和渗透测试寻找弱点在您的网络。在前,关键目标是识别、量化和分析漏洞在IT基础设施中,列举的所有假设的航线网络攻击。这适用于从泄露物联网设备与故障的应用程序源代码。过程往往是自动化,在许多组织中,可以最终确定数以百计,如果不是数以千计的漏洞。
渗透测试,与此同时,是一个授权攻击自己的系统——的一种形式道德黑客——利用漏洞,这样一支笔测试人员可以尝试访问系统和数据。这个想法是多么简单或困难要克服你的防御,测试假设的漏洞评估中发现的风险。笔测试人员使用一个著名的“白帽子”阿森纳黑客工具来完成他们认可的攻击,包括社会工程工具包1和笔测试框架。2但是笔测试人员的手工技能和创造力同样重要发现可利用的系统,成功地映射网络,获取其他系统和测试防御。认为它是犯罪侧写的infosec版本:只有通过想象一个恶意的黑客的心态和模仿他们的活动可以善意的笔测试人员真正理解一个组织面临风险和充分的准备面对它。
集中你的渗透测试与主动扫描
积极主动寻找漏洞扫描扫描时启动迹象。被动扫描监视网络活动,等着看指标的漏洞。主动扫描是Nessus专业的核心功能,并组织用户,这是最直接的方法寻找漏洞渗透测试和一个很好的补充。作为一个例子,如果一个笔测试人员正在寻找可利用的洞一个网站,他们可以使用一个web应用程序扫描来确定特定的应用程序容易受到攻击的方式,如跨站点脚本或SQL注入,然后探索这些领域进行更详细的(用钢笔测试工具或手工方法)。
漏洞扫描结果节省时间和资源通过识别领域一支笔测试应该关注最密切。例如,假设扫描结果显示您的Apache框架是脆弱的。但是如果你知道你可以很容易地降低脆弱性通过移除应用程序完全,只是继续那样做!这是一个更有效的方法比使用笔测试资源探索程序详细的弱点。
主动扫描的目标应该把笔测试工作,不扩大。如果你使用渗透测试仔细检查一切主动扫描解决方案发现,你只是增加更多的工作。
淬火系统漏洞扫描是必要的,以确保信息安全。在站得住脚的,结果你Nessus扫描可以与流行的渗透测试工具集成。这使得它更容易开始渗透测试从一个坚实的基础。
发现未知的离线评估
而主动扫描可以帮助加强渗透测试,识别缺陷和漏洞而离线呢?这一点尤其重要,如果你没有运行在频繁扫描:扫描之间的任何新应用程序添加不会筛选了弱点,让你暴露于潜在故障你不知道。非托管资产与漏洞,或者那些设置不符合政策——利用是伟大的目标。
Nessus专业的生活结果功能,一旦激活,分开执行离线漏洞评估标准扫描每次更新插件。基于其检查的数据从过去的扫描,寻找可能的故障并发送警报的可疑的结果。在这一点上,您可以运行一个活跃的扫描和Nessus来验证结果。
前的渗透测试和其他常见的扫描结果可以使生活更容易为笔测试仪。生活的结果可以帮助指导infosec专业人员进行测试时,帮助他们识别如何检查可以被重定向的。从那里,测试人员可以全面评估情况并总结这漏洞必须紧密测试和探索来衡量它们可以利用的难易程度。
主动扫描与线下的结合Nessus漏洞评估使用动态结果代表了一个强大的策略来改善和保护您的网络渗透测试成功。
试试自己的免费7天试用Nessus专业。
相关文章
- Nessus
- 渗透测试
- 威胁管理
- 漏洞扫描