漏洞分析是系统地识别、分类和优先排序系统、网络和应用中漏洞的过程。
漏洞分析使用自动化工具和手动技术发现技术基础设施中的已知弱点。与渗透测试(尝试利用漏洞)不同,分析侧重于识别和编目。使用CVSS(通用漏洞评分系统)等系统分类严重程度,并生成按风险优先排序的修复计划。
Nessus、Qualys或OpenVAS等工具通过与CVE数据库比较来扫描基础设施以检测已知漏洞。
根据CVSS将漏洞评分为0到10,考虑攻击向量、复杂度以及对机密性、完整性和可用性的影响。
输出包括按严重程度和业务背景分类漏洞的优先修复计划,以将资源集中在最关键的漏洞上。
至少每季度一次,以及在基础设施发生重大变化后。高风险环境可能需要每月或持续扫描。
两者互补。漏洞分析广泛识别已知弱点。渗透测试验证这些漏洞是否真正可利用并衡量实际影响。成熟的策略包括两者。
需要此领域的评估?