渗透测试是模拟对系统、网络或应用的真实攻击以识别可利用漏洞的安全评估。
渗透测试(pentesting)是一种授权的受控评估,使用与真实攻击者相同的技术在漏洞被利用之前发现它们。分为黑盒(无先验信息)、灰盒(部分信息)和白盒(完全访问代码和架构)。是ISO 27002推荐的控制措施,也是PCI DSS等法规要求的。
至少每年一次或在基础设施发生重大变化后。PCI DSS等法规要求年度渗透测试。高风险组织可能需要季度测试。
漏洞扫描是自动化的,检测已知漏洞。渗透测试是手动的,尝试利用漏洞以展示实际影响。两者互补,不可替代。