文章指出,随着Web技术的发展,临时的漏洞扫描已无法满足企业安全需求。现代漏洞扫描工具如Acunetix已演变为自动化漏洞评估和管理解决方案,应集成到DevSecOps流程中,实现持续扫描和管理漏洞。临时扫描效率低下,无法自动修复和跟踪漏洞,而连续集成扫描与漏洞管理功能相结合,能显著提高效率和安全性。建议将漏洞扫描早期融入软件开发生命周期,并利用自动化工具进行无缝管理。
Web漏洞扫描程序通常被视为即席工具。最初,所有漏洞扫描程序都是这种工具,并且当前的开源Web应用程序安全解决方案仍遵循该模型。但是,随着Web技术的复杂性和可用性的大幅增加,临时模型已经过时,无法满足当今大多数企业的安全需求。
为什么您会陷入临时扫描? 为渗透测试人员创建了漏洞扫描程序,将其作为支持工具。最初,渗透测试人员将运行漏洞扫描以快速发现典型漏洞。然后,他们将更深入地了解扫描结果,例如,以确认漏洞,并执行更高级的测试,例如涉及业务逻辑的测试。
最初,大多数企业通常依赖于第三方渗透测试人员(自由职业者或服务公司)的服务。例如,企业将每季度订购一次渗透测试,然后在接下来的三个月中完全不进行安全测试。因此,作为渗透测试的一部分的所有漏洞扫描最初都被视为即席活动,而不是持续的安全措施。
时间已经过去,漏洞扫描程序变得更加先进。当今的专业扫描仪(例如Acunetix)仍然依赖扫描引擎,但功能远不止于此。他们成为自动化漏洞评估和漏洞管理工具。但是,许多购买者仍然习惯于“旧方法”,并且将安全性视为即席练习,因此,他们错过了现代DAST解决方案的关键优势。
没有临时扫描的空间 Acunetix在过去的几年中,不仅仅是漏洞扫描技术发生了很大的变化。这也是对将漏洞扫描程序放置在软件开发生命周期中的位置以及由谁使用此类软件的认识。
如上所述,漏洞扫描器最初是专门为渗透测试人员制作的工具。是的,这也是Acunetix故事的开始!但是,公司很快意识到他们可以在内部运行漏洞扫描,然后外包渗透测试。这样,可以临时执行自动安全测试,但间隔更短,而复杂而昂贵的手动渗透测试则可以更少地执行。那时,漏洞扫描程序已从渗透测试人员手中转移到内部安全团队手中。
最新最好的趋势是将漏洞扫描器完全集成到自动化系统中,从而无需人工手动运行它们。
最低0.47元/天 解锁文章
扫一扫
3529
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
