渗透测试可以让企业了解现有安全措施的有效性或不足,进而帮助企业调整安全项目,主动发现漏洞。虽然大多数企业都熟悉并执行手动渗透测试,但近年来自动渗透测试已成为一个备受讨论的选择。自动渗透测试和手动渗透测试的优缺点是什么?不妨比较一下各自的优缺点。手动渗透测试的优缺点手动渗透测试的最大优点是灵活性,这使得它更容易发现和响应测试系统中的漏洞。手动渗透测试可以发现自动化测试可能无法发现的更微妙的漏洞和利用,例如盲注SQL注入攻击、逻辑缺陷和访问控制漏洞。可以在手动渗透测试期间分析应用程序对此类攻击的响应的训练有素的专业人员可以捕获自动测试软件认为很好但实际上很好的响应。人工渗透测试的另一个优势是专家随时审查报告。虽然自动化渗透测试工具也会生成报告,但安全分析师仍然需要审查和修复发现的许多问题。手动渗透测试也可以更灵活地发现漏洞。EnterpriseStrategyGroup分析师JonOltsik说:“一个好的渗透测试人员会使用直觉,并根据结果选择在意想不到的方向进行测试。”一些渗透测试也只能手动执行。例如,当组织要分析针对社会工程攻击的保护时,需要进行手动渗透测试,尤其是在测试语音钓鱼攻击时。手动渗透测试的最大缺点是成本和时间。渗透测试既昂贵又耗时,而且非常彻底,有时可能需要数周时间才能获得结果,这并不总是可取的,尤其是在处理关键漏洞时。手动渗透测试也可能很昂贵,这就是为什么许多企业执行此类测试只是为了满足合规性和法规要求。如果企业没有钱组建内部红队或渗透测试团队,就会选择第三方服务商来满足测试需求,这又是一笔成本。自动渗透测试的优点和缺点手动渗透测试既复杂又昂贵,因此许多企业很少这样做。成本更低且更易于执行的自动化测试可能会改变这一点。“组织有兴趣进行更频繁的测试,”Gartner分析师MitchellSchneider说。“我们从自动化渗透测试工具中看到的好处之一是它使这些类型的测试更加频繁。企业希望及时消除相关风险和威胁。”,而不是等待安排测试。”自动化渗透测试的另一个好处是它为安全分析师节省了时间,使他们能够专注于测试期间可能延迟的其他任务。自动化还可以处理不一定复杂但手动执行起来很耗时的重复性任务。频繁的自动渗透测试还可以帮助公司评估更新频率高于测试频率的整体计算机系统,例如在快速发布周期期间。“你需要自动化测试才能真正了解环境,”ForresterResearch分析师JeffPollard说。自动化渗透测试的一个潜在缺点是分析师仍将其视为新兴市场。“独立的自动化测试工具在过去几年中得到了改进,”Oltsik说。“随着风险资本的持续投资,创新市场不断增长。”另一个缺点是测试结果取决于渗透测试工具本身以及用户的好坏。知识水平。Oltsik说:“人是自动测试的负担。软件的效果完全取决于人类的知识库。对于漏洞,用户必须知道一定的策略和技术。”如果渗透测试软件开发人员不做好本职工作,自动渗透测试就会出现漏洞,可能会遗漏关键问题。一些人还担心自动化工具可能会取代渗透测试人员,但Oltsik表示情况不一定如此。他说:“自动化测试有可能变得如此出色,以至于您可能只需要主管和审计员来管理自动化测试并完成工作,但这不会很快发生。”它仍然是有限的,不能针对各种测试场景进行部署。大多数工具不支持无线网络、Web应用程序和社会工程攻击的渗透测试。手动和自动结合使用在实际工作中,企业在选择渗透测试方法时,往往不是二选一的问题。相反,自动化渗透测试工具应该补充手动渗透测试工作。Schneide说,自动化渗透测试工具并不适合所有类型的渗透测试。他们不会完全取代渗透测试人员或红队,至少在未来几年是这样。自动化还导致了渗透测试即服务(PTaaS)的发展。NetSPI、Cobalt和PentestPeople等供应商已经提供了一些服务。PTaaS产品结合了手动渗透测试和自动渗透测试。通过两者的结合使用,企业可以更轻松地完成特定的渗透测试任务,例如满足合规性或监管要求。参考链接:https://www.techtarget.com/searchsecurity/feature/Pros-and-cons-of-manual-vs-automated-penetration-testing
