對于各種規(guī)模的組織內(nèi)的安全團(tuán)隊(duì)來說，領(lǐng)先一步潛在的違規(guī)行為是首要任務(wù)。漏洞掃描長期以來一直是這些工作的基礎(chǔ)，使企業(yè)能夠識(shí)別其安全狀況中的弱點(diǎn)。然而，隨著網(wǎng)絡(luò)攻擊的復(fù)雜性和規(guī)模不斷增長，并且每年都會(huì)編目大量常見漏洞和暴露 (CVE)，人們越來越清楚地發(fā)現(xiàn)，漏洞掃描是不夠的。

什么是漏洞掃描？

漏洞掃描是檢查操作系統(tǒng)、應(yīng)用程序或網(wǎng)絡(luò)是否存在安全漏洞或潛在漏洞的高級(jí)方法。目標(biāo)是進(jìn)行漏洞評(píng)估，以發(fā)現(xiàn)網(wǎng)絡(luò)犯罪分子可能利用的漏洞（例如過時(shí)的軟件或固件）或可利用的安全漏洞和錯(cuò)誤配置。

實(shí)際上，漏洞掃描是指使用專門的 Web 應(yīng)用程序或漏洞掃描工具來掃描連接到網(wǎng)絡(luò)的服務(wù)器、筆記本電腦和工作站。

安全團(tuán)隊(duì)可以執(zhí)行各種類型的漏洞掃描，例如外部掃描，以查看攻擊者在網(wǎng)絡(luò)外部啟動(dòng)時(shí)可能利用的已識(shí)別漏洞?；蛘邇?nèi)部漏洞掃描，他們可以掃描內(nèi)部人員可以利用的漏洞，例如暴露的密碼哈希。他們還可以執(zhí)行經(jīng)過身份驗(yàn)證的掃描，使用特權(quán)憑據(jù)來檢測由弱密碼、惡意軟件或未經(jīng)身份驗(yàn)證的掃描引起的威脅，以查找操作系統(tǒng)、偵聽開放端口的服務(wù)等中的弱點(diǎn)，以從攻擊者的角度查看其網(wǎng)絡(luò)。

事實(shí)上，一些安全標(biāo)準(zhǔn)，如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)，要求組織定期進(jìn)行漏洞掃描。

漏洞掃描的局限性

漏洞掃描提供了系統(tǒng)的掃描過程，作為對數(shù)字環(huán)境執(zhí)行安全測試以查找弱點(diǎn)的一部分。它通常使用自動(dòng)化功能將配置和軟件版本與已知漏洞的數(shù)據(jù)庫進(jìn)行比較，并在發(fā)現(xiàn)匹配時(shí)標(biāo)記潛在的安全風(fēng)險(xiǎn)。雖然多年來它一直是網(wǎng)絡(luò)安全的重要組成部分，但數(shù)字化轉(zhuǎn)型加劇了這一過程，導(dǎo)致組織正在努力克服一些限制，包括以下限制：

1.僅限于已知漏洞：漏洞掃描程序?qū)呙枘脑O(shè)備以查找其開發(fā)人員所知的每個(gè)漏洞。這里的關(guān)鍵詞是“了解”。面對不熟悉的漏洞，例如尚未添加到數(shù)據(jù)庫的新漏洞，掃描器將無法標(biāo)記它們。這使得組織很容易受到零日威脅。

2.誤報(bào)和漏報(bào)：漏洞掃描并不完美。它們可能會(huì)返回誤報(bào)（即系統(tǒng)中不存在的漏洞）和漏報(bào)（即系統(tǒng)中存在但被掃描程序遺漏的漏洞）。為了確保這種情況不會(huì)發(fā)生，您需要自定義掃描配置并驗(yàn)證掃描結(jié)果 - 否則，掃描將繼續(xù)返回不準(zhǔn)確的結(jié)果并導(dǎo)致 IT 團(tuán)隊(duì)產(chǎn)生警報(bào)疲勞。

3.不可利用的漏洞：并非漏洞掃描發(fā)現(xiàn)的每個(gè)漏洞都可以在系統(tǒng)中利用。即使漏洞是可利用的，也可以采取控制措施來降低這種風(fēng)險(xiǎn)。漏洞掃描不會(huì)考慮到這一點(diǎn)。

4.不可修補(bǔ)的風(fēng)險(xiǎn)和錯(cuò)誤配置：數(shù)字化轉(zhuǎn)型通常會(huì)帶來傳統(tǒng)漏洞之外的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括配置錯(cuò)誤、登錄頁面暴露、加密協(xié)議薄弱或證書過期。傳統(tǒng)的漏洞管理工具可能無法有效捕獲和解決這些不可修補(bǔ)的風(fēng)險(xiǎn)，從而使組織面臨潛在的安全漏洞。

5.缺乏可見性：漏洞掃描主要關(guān)注端點(diǎn)和已知的網(wǎng)絡(luò)資產(chǎn)。經(jīng)常錯(cuò)過影子 IT、物聯(lián)網(wǎng)設(shè)備、云服務(wù)和現(xiàn)代攻擊面的其他組件，留下攻擊者可以利用的盲點(diǎn)。此外，通過漏洞掃描，只能獲得有關(guān)掃描時(shí)系統(tǒng)中存在的風(fēng)險(xiǎn)的信息。

6.缺乏上下文：當(dāng)掃描返回漏洞列表時(shí)，不一定清楚安全團(tuán)隊(duì)?wèi)?yīng)該首先關(guān)注哪些漏洞，也不清楚為什么。安全團(tuán)隊(duì)需要分析結(jié)果，以識(shí)別潛在的風(fēng)險(xiǎn)漏洞，并了解它們?nèi)绾芜m應(yīng)更大的業(yè)務(wù)背景。

漏洞掃描與滲透測試

漏洞掃描是一種查找系統(tǒng)中是否存在弱點(diǎn)的方法，但它并不能顯示哪些弱點(diǎn)使系統(tǒng)面臨風(fēng)險(xiǎn)。

另一方面，滲透測試不僅發(fā)現(xiàn)弱點(diǎn)，而且旨在利用它們來了解網(wǎng)絡(luò)犯罪分子滲透系統(tǒng)的級(jí)別，即模擬全面攻擊。滲透測試或“筆測試”可以幫助組織了解特定漏洞對其環(huán)境造成的風(fēng)險(xiǎn)。

與通常完全自動(dòng)化的漏洞掃描不同，筆測試往往涉及人類黑客，他們在滲透測試完成后提供完整的測試結(jié)果報(bào)告、發(fā)現(xiàn)的漏洞的嚴(yán)重性和技術(shù)建議。

由于筆測試比漏洞掃描更昂貴，因此它們通常發(fā)生的頻率要低得多。

ASM 在加強(qiáng)網(wǎng)絡(luò)安全防御方面的作用

為了突破漏洞掃描的局限性，組織必須將注意力從單個(gè)漏洞轉(zhuǎn)移到更廣泛的攻擊面概念。攻擊面包括您的系統(tǒng)、應(yīng)用程序和數(shù)據(jù)面臨潛在威脅的所有點(diǎn)。它是您組織的整個(gè)數(shù)字足跡，包括已知和未知資產(chǎn)。

漏洞掃描可以為提供有關(guān)風(fēng)險(xiǎn)來自何處的重要線索，但攻擊面管理 (ASM) 可以快速、最新地了解實(shí)際需要關(guān)注的網(wǎng)絡(luò)威脅。

通過全面映射您的攻擊面，ASM 向安全團(tuán)隊(duì)展示在執(zhí)行修復(fù)時(shí)根據(jù)每項(xiàng)資產(chǎn)的重要性和暴露級(jí)別確定其工作優(yōu)先級(jí)的位置。

監(jiān)控您的攻擊面使您能夠檢測新的威脅，例如模仿您的域的惡意軟件或網(wǎng)絡(luò)釣魚站點(diǎn)、未經(jīng)授權(quán)的子域或可疑的 SSL 證書。

根據(jù)《2023 年數(shù)據(jù)泄露成本報(bào)告》，部署 ASM 解決方案的組織能夠識(shí)別和遏制數(shù)據(jù)泄露的概率是未部署 ASM 解決方案的組織的 75%。

持續(xù)威脅監(jiān)控的重要性

一旦清楚地了解了攻擊面，您就可以實(shí)施持續(xù)的威脅監(jiān)控，以便在新漏洞和新出現(xiàn)的威脅被利用之前及時(shí)了解它們。它為組織提供了對其不斷發(fā)展的數(shù)字環(huán)境的主動(dòng)、實(shí)時(shí)洞察，超越了傳統(tǒng)的網(wǎng)絡(luò)安全。

確保 ASM 見解與漏洞管理工具無縫共享，能夠根據(jù)可能性和影響來確定漏洞的優(yōu)先級(jí)并解決它們，從而縮小 ASM 和漏洞管理之間的差距，從而對安全風(fēng)險(xiǎn)做出更全面、更有針對性的響應(yīng)。

外部攻擊面管理與持續(xù)自動(dòng)化紅隊(duì)結(jié)合起來，為有效的持續(xù)威脅暴露管理 (CTEM) 計(jì)劃奠定了堅(jiān)實(shí)的基礎(chǔ)?？梢愿玫亓私猹?dú)特的威脅情況，從而可以實(shí)施補(bǔ)救措施來減輕和最大程度地減少最相關(guān)的風(fēng)險(xiǎn)。

超越漏洞掃描

僅通過漏洞掃描無法有效地保護(hù)攻擊面免受可利用漏洞的侵害。擺脫查找和修復(fù)方法并采用主動(dòng)方法，超越其限制并采取更全面的安全方法至關(guān)重要。