La différence entre les évaluations de la vulnérabilité et des tests de pénétration

Sur ce blog, nous avons passé beaucoup d'énergie discuter de l'importance des données des plans de test de sauvegarde et les processus de reprise après sinistre à l'aide de divers scénarios. De même, il est important de tester également la sécurité de votre réseau afin de veiller à ce que votre entreprise restera l'abri des pirates et autres individus malveillants qui pourraient vouloir détruire ou de fuir vos données d'entreprise.

Ceci est particulièrement important aujourd'hui, car une grande partie des transmissions de données d'entreprise sont en cours sur l'Internet public, et les clients exigent désormais un accès direct à vos systèmes d'entreprise via Internet-face portails self-service.

Une méthode d'évaluation de la sécurité du réseau serait grâce à l'utilisation des évaluations de la vulnérabilité. Lors d'une évaluation de la vulnérabilité, vous fouillez le réseau afin de découvrir les failles de sécurité potentielles et des vulnérabilités au sein de vos systèmes et de services.

Toutefois, une évaluation de la vulnérabilité est seulement une analyse superficielle de ce que «pourrait» se produire au sein de votre réseau. Non seulement il va mettre en place un grand nombre de faux positifs, mais c'est aussi susceptibles de manquer un certain nombre de vulnérabilités bien cachés.

Afin de véritablement évaluer la sécurité de votre réseau, vous aurez besoin d'aller plus loin. Et c'est là que les tests de pénétration entre en jeu.

Un test de pénétration - souvent appelé Test Pen - consiste à prendre l'ensemble de ces vulnérabilités potentielles et effectuant le monde réel des tests sur eux.

Le but d'un test de crayon est de creuser profondément dans le réseau et d'exécuter réels preuve de concept exploits sur les systèmes cibles. Essais Pen sont beaucoup plus risqués que les évaluations de la vulnérabilité, puisque vous êtes en train d'essayer de faire des choses qui pourraient éventuellement endommager vos données ou les systèmes.

Un test complet de plume peut vous fournir des informations beaucoup plus utile qu'une évaluation de la vulnérabilité pourrait jamais simples. Par exemple, il est extrêmement rare pour les serveurs critiques pour être connectés directement à Internet. Au lieu de cela, un attaquant devrait d'exploiter un système public-parement qui agirait comme un moyen d'accéder à d'autres systèmes internes.

En fait, la seule différence entre le piratage et le stylo-test est la personne qui effectue la tâche. Lorsque les bons de le faire, vous avez l'avantage de contrôle, de confiance et de sécurité. Mais si vous n'avez pas effectuer ces tests, alors quelqu'un d'autre le fera ... et il sera probablement un criminel non autorisé avec de mauvaises intentions et les motivations fortes pour nuire à votre entreprise.