渗透测试可以让公司掌握目前安全防范措施的成果或不够,从而协助其调节安全性新项目,并积极发觉系统漏洞。尽管大部分公司了解并开展手动渗透测试,但近些年自动渗透测试变成一种备受关注的挑选。自动渗透测试与手动渗透测试孰优孰劣?何不较为一下彼此的优点和缺点。
手动渗透测试的优缺点
手动渗透测试的最大的优势是灵便,它更有可能发觉和解决测试系统软件中的系统漏洞。手动渗透测试可以发觉自动测试很有可能未看到的更奸诈系统漏洞和进攻,例如盲SQL引入进攻、逻辑性缺点和密钥管理系统漏洞。经过训练的专业技术人员可以在手动渗透测试中剖析应用软件对该类伤害的回应,可以捕获自动测试手机软件觉得没什么问题,但事实上有什么问题的回应。
手动渗透测试的另一个特点是权威专家随时随地审查报告。尽管自动渗透测试专用工具也会转化成汇报,但安全性数据分析员依然要核查和修补发觉的很多问题。手动渗透测试还能够在找寻系统漏洞时更灵便。Enterprise Strategy Group投资分析师Jon Oltsik说:“出色的渗透测试工作人员会应用判断力,并依据結果,挑选朝出乎意料的角度开展测试。”一些渗透测试也只有手动实行。例如,当公司要想剖析预防社会工程进攻的状况,就必须手动渗透测试,测试有没有视频语音中间人攻击时更是如此。
手动渗透测试的最大的缺陷是费用和時间。渗透测试投入的成本费用和時间以其完全水平而定,有时候也许须要几个星期時间能够得到結果,这并不一直不尽人意,在解决比较严重系统漏洞时更是如此。手动渗透测试也很有可能很砸钱,这就是为何很多公司实行这类测试仅仅因为达到合规管理和管控规定。假如公司没有钱开设内部结构蓝队或渗透测试精英团队,会挑选第三方服务提供商用以达到测试要求,这也是另一项成本费。
自动渗透测试的优点和缺点
手动渗透测试既繁杂又砸钱,因而很多公司不常开展测试。自动测试成本费较低、更易于开展,很有可能会发生变化这个局势。Gartner投资分析师Mitchell Schneider说:“机构有兴趣爱好开展更经常的测试。大家从自动渗透测试专用工具中见到的作用之一是,它使这种测试更经常了。公司期待立即清除有关的隐患和危害,而不是等候分配测试。”
自动渗透测试的另一个益处是,它为安全性投资分析师节约了時间,使它们可以致力于测试期内很有可能被耽误的别的每日任务。自动化还能够解决可重复性每日任务,这种每日任务不一定繁杂,但手动解决起來很用时。经常的自动渗透测试还能够协助企业评估所有计算机软件——这种体系的升级比测试来的更经常,例如在迅速公布周期时间期内内。Forrester Research投资分析师Jeff Pollard说:“必须自动测试才可以真正掌握自然环境。”
自动渗透测试的一个潜在性缺陷是投资分析师仍将其视作新兴经济体。Oltsik说:“单独的自动测试专用工具在过去的两年不断完善。伴随着风险性资产再次资金投入,这一自主创新销售市场在持续发展壮大。”它的另一个弊端是测试結果在于渗透测试专用工具自身的优劣及其消费者的常识水准。Oltsik说:“人是自动测试的负累。手机软件实际效果一切在于人的知识库系统。对于系统漏洞,客户一定要会一些对策和技术性。”假如渗透测试手机软件开发者沒有尽到做好本职工作,自动渗透测试就会有缺点,很有可能会疏漏至关重要的问题。
一些人还担忧自动专用工具很有可能替代渗透测试工作人员,但Oltsik表明状况不一定如此。他说道:“自动测试有可能越来越很优异,或许只必须观察员和审计员来管理方法自动化测试就可以进行相应工作中,但这类局势不容易迅速发生。”除此之外,自动渗透测试在功用上仍然比较有限,没法朝向各种各样测试情景开展布署。大部分专用工具不兼容朝向wifi网络、Web应用软件和社会工程进攻开展渗透测试。
手动自动紧密结合应用
在现实工作上,公司在挑选渗透测试方法时,通常并不是二选一的问题。反过来,自动渗透测试专用工具应当輔助手动渗透测试工作中。Schneide表明,自动渗透测试专用工具并不完完全全适用任何类别的渗透测试。最少在下面两年,他们不容易彻底替代渗透测试工作人员或蓝队。自动化还提供了渗透测试即服务项目(PTaaS)的进步时尚潮流。NetSPI、Cobalt和Pentest People等经销商早已给予一些服务项目。PTaaS商品融合了手动渗透测试和自动渗透测试,根据二者的融合应用,公司更非常容易进行相应的渗透测试工作中,例如达到合规管理或管控规定等。
参照连接:
https://www.techtarget.com/searchsecurity/feature/Pros-and-cons-of-manual-vs-automated-penetration-testing