渗透测试在评估企业面临的漏洞风险、合规能力及安全运营测试方面起着关键作用。但对于很多组织机构来说，市场上可以选择的渗透测试提供商实在太多了。要找到合适的提供商，评估其服务质量，并将测试费用控制在在预算范围之内，可谓是一项艰巨的任务。

对此，建议企业客户在选择提供商之前，分析需要哪种类型的测试以及测试的目标、范围、要求和界限，并使用结构化方法对比、评估和选择提供商。本文青藤云安全小编为你整理了如下关于渗透测试的目的和类型的相关内容：

一、明确渗透测试的目的

渗透测试不仅仅是进行漏洞扫描，而是会使用多步骤、多向量的攻击方案来发现漏洞，然后利用漏洞深入企业的基础架构。许多安全负责人都将渗透测试作为独立的验证机制，来评估其组织机构的IT环境是否具有检测和防御攻击的能力。企业进行渗透测试主要是为了实现以下目的：

l 为制定风险管理计划提供意见（例如，新的安全负责人上任后）

l 验证安全控制措施的有效性（例如，红队演习）

l 进行有效的漏洞管理（例如评估支持关键业务项目的平台和应用是否存在漏洞）

由于提供渗透测试服务的公司数量众多，要选择一个最合适的可能很难。渗透测试提供商的规模不一，有全球性的大型咨询公司，有区域性的定制化安全服务提供商，也有在家工作的自由职业者。测试人员的经验也不尽相同，有完成了数百次渗透测试的老兵，也有刚刚通过认证、开始从事渗透测试的新手。

但要注意，公司规模大、全球知名品牌不一定意味着渗透测试服务好。同样，经验丰富也可能无法满足新兴领域（例如云环境）或用例（例如测试ICS / SCADA环境）的需求，这些领域需要专门的专业知识。

二、确定渗透测试的类型

企业现在对渗透测试的兴趣愈发浓厚，因为通过渗透测试可以发现一些关键的安全漏洞，如果不加以处理，在短期内就会给企业造成业务影响。如果组织机构确定需要渗透测试，那么安全负责人应确定渗透测试的范围和深度。

安全负责人在尝试评估组织机构的安全状况时，可以考虑进行渗透测试。可以从白盒测试开始，这是一种轻量级评估。然后转到灰盒测试，针对特定资产进行测试。 最后一个阶段是黑盒测试，它测试的是防御、检测和响应实际攻击的能力。在选择顾问或服务提供商时，最重要的是要明确定义渗透测试的目标和范围。下表总结了攻击类型和属性，可据此确定模拟攻击，以获取预期信息。重要的是要强调，企业需要确定并接受与渗透测试有关的责任，尤其是可能让系统崩溃或中断关键服务的攻击模拟。

渗透测试的类型

以上就是关于渗透测试提供商选型指南的目的和类型，后续，青藤云安全小编将会为你带来更多渗透测试的相关内容讲解。