漏洞掃描與滲透測試：兩種常被混淆的安全實踐

掃描與測試：方法很重要

漏洞掃描使用自動化工具來檢測已知問題，例如未打補丁的軟體或配置錯誤的連接埠。它速度快、可重複，是日常風險監控的理想選擇。
相較之下，滲透測試則需要親身實踐。安全專家會模擬真正的攻擊者，利用系統漏洞，測試防禦措施，並揭示在實際攻擊中可能出現的問題。

主要區別：掃描可以發現漏洞。測試可以驗證這些漏洞是否可以被利用。

在安全治理中的作用

在 ISO 27001 和 NIST CSF 等安全框架中，這兩種實踐發揮不同的作用：

漏洞掃描有助於技術風險管理，並有助於追蹤一段時間內的風險敞口。
滲透測試在真實攻擊環境下驗證安全控制措施。

簡而言之：

掃描結果顯示“出了什麼問題？”
測試會問“這是否可以被利用？”

風險功能：識別與驗證

掃描可以提高可見性。它會輸出 CVSS 評分、已知問題清單和修復優先順序。
測試結果顯示了其影響。它揭示了攻擊者如何在系統中移動、存取資料或提升權限。

它們相輔相成：掃描可以識別風險；測試可以驗證現實世界的後果。

何時使用每種

使用漏洞掃描：

1. 按月或按季度
2. 所有面向互聯網和內部的資產
3. 作為日常安全衛生措施的一部分

使用滲透測試：

1. 系統上線前
2. 重大系統變更之後
3. 審核前（ISO 27001、PCI DSS）
4. 安全事件發生後

結論：

掃描是一種主動監控。
測試是主動防禦模擬。

攜手共進：建構安全循環

不要二選一，將它們結合起來：

掃描 → 決定優先權 → 測試 → 修復 → 重新掃描

在DevSecOps中，掃描可以融入CI/CD管線。測試則可以提供實際應用的驗證。
它們共同提供了廣泛的檢測和深度驗證——這是建立強大網路安全態勢的基礎。

DQS HK 的關聯服務

• 滲透測試
• 安全風險評估和審計（SRAA）
• ISO 27001認證

筆記：

除非另有規定，DQS HK 的安全風險評估和稽核 (SRAA) 服務涵蓋滲透測試，而 DQS HK 的滲透測試服務涵蓋漏洞掃描。