1.3 漏洞评估、渗透测试和红队演习的局限性

在本节中，我们将讨论有关经典漏洞扫描、渗透测试和红队演习的一些误解和限制。现在让我们用简单的术语来理解这三个主题的实际含义及其局限性：

• 漏洞评估（VA） ：通过漏洞扫描程序识别系统、网络中的缺陷或安全漏洞。关于VA的一个误解是：它可以让你找到所有已知的漏洞。实际上这不是不可能。VA的限制包括只能发现潜在的漏洞，这往往取决于你使用的扫描程序类型，同时它还可能存在许多误报。对于一个业务负责人来说，没有人能确保哪些漏洞不会构成相关风险，以及攻击者将会优先利用哪些漏洞来获得访问权限。最后，VA的最大缺陷是假阴性，这意味着扫描程序会发现不了系统或应用程序中存在的安全问题。

• 渗透测试（pentesting） ：利用漏洞安全地模拟黑客攻击场景，不会对现有网络或业务产生太大影响。这种场景误报的数量较少，因为测试人员将会验证漏洞并尝试利用它们。渗透测试的一个限制是：它只能使用当前已知的、公开可用的漏洞，在大多数情况下，这些是渗透测试项目的重点。我们经常在评估期间听到渗透测试人员说：“耶！Root进去了！”但我们从未听到过这个问题：“你能用它做什么？”这可能是种种原因造成的，例如项目范围的约束，测试人员需要立即向客户报告高风险的问题，又或者客户只对网络的某一个段感兴趣并且只想测试该网段。

• 红队演习（RTE） ：重点评估组织防御网络威胁的有效性，通过任何可能的方式提高其安全性。在RTE期间，我们可以发现实现项目目标、场景的多种方法，例如完全覆盖具有已定义项目目标的活动，包括网络钓鱼（诱使受害者通过电子邮件输入敏感信息或下载恶意内容）、语音钓鱼（通过电话诱使受害者提供或执行一些具有恶意意图的操作）、WhatsApping（通过WhatsApp社交软件吸引受害者实现恶意意图）、无线测试、移动磁盘入侵（USB和SSD）和物理渗透测试。RTE的局限性是有时间限制，方案是预定义的，且在非真实的环境下开展。通常，RTE确保每种技术都能在完全监控的模式下运行，并且根据既定的程序执行策略，但是当真正的攻击者想要达到目标时，情况并非如此。

图1.1显示了这3种活动在深度和广度方面的差异。

通常，这3种不同的测试方法都涉及术语“黑客攻击”或“入侵”。我们将破解你的网络并向你展示网络的脆弱点，但是客户或业务负责人是否理解这些专业术语之间的区别？应该如何衡量它们？标准是什么？什么时候知道黑客攻击已经完成？所有的问题都指向测试的目的是什么，以及我们心中的主要目标是什么。