问渗透测试是否可以被视为漏洞管理计划的一部分？

EN

绝对一点儿没错。渗透测试可被视为脆弱性管理和脆弱性评估的一个关键部分。渗透测试与漏洞扫描非常不同，尽管漏洞扫描可能是渗透测试中用于识别环境中明显问题的初始任务之一。

漏洞管理程序中的渗透测试应该在解决了明显的问题之后进行，这样环境就会受到现实生活中的攻击。只有在这一点上，才能真正衡量现有的防御措施。

当您在您的漏洞管理程序中评估您的风险时，您的风险方程有两个因素。漏洞评估为您提供了利用向量及其对组织的潜在风险值的因素。但是实际的风险值必须是在环境的现场处理，它将被开发出来，以知道它对于您的特定场景有多糟糕。开发分析(渗透测试)提供了真实的风险值，并说明了脆弱性评估无法从脆弱性评估中确定的门户风险中阐明的主要、次要和三级风险。

举个例子，我知道在我的房子里我有窗户，它们是一个弱点--因为基本上任何白痴罪犯都可以绕过窗户(即使有像样的窗户警报检测，顺便说一句)。我可能认为我是“安全的”，因为我有一个好的珠宝商等级安全，我把我的珠宝。然而，当我雇一个人来利用我的窗户，闯入时--我可能会找到我需要的另一个重要的人(万一有紧急情况)进入保险箱，把保险箱的密码写下来，贴在她办公室的办公桌上，就在其中一个窗户旁边。现在，在我的脆弱性评估中，windows在我的风险评估中可能被评为低到中等，因为它是众所周知的漏洞。然而，直到我的利用分析，我发现我有一个主要的风险，因为缺乏协议，在处理组合到我的安全。

可以归结为:你所说的“五官”是什么意思。

漏洞扫描器有很高的假阳性率，证明一个漏洞往往涉及利用它。

如果您的意思是将您的环境组合成红色，那么这是测试您的团队对主动威胁的反应的好方法。它还能很好地描述实际威胁与环境之间的关系，而不是在没有上下文的情况下自行评估风险。

如果你只是想羞辱你的开发者，我会把钱花在别处。

--

不要低估它作为一个全面的风险管理计划的一部分，这是很重要的，但它更多的是对上层管理的一个意识杠杆，而不是对那些从事这项技术的人。在99%的情况下，一个有着良好动机和资金支持的基础设施管理团队可以为你做更多的事情，而不是一份报告，报告中说他们一直告诉你的事情会影响他们的士气。