对于各种规模的组织内的安全团队来说,领先一步潜在的违规行为是首要任务。漏洞扫描长期以来一直是这些工作的基础,使企业能够识别其安全状况中的弱点。然而,随着网络攻击的复杂性和规模不断增长,并且每年都会编目大量常见漏洞和暴露 (CVE),人们越来越清楚地发现,漏洞扫描是不够的。
什么是漏洞扫描?
漏洞扫描是检查操作系统、应用程序或网络是否存在安全漏洞或潜在漏洞的高级方法。目标是进行漏洞评估,以发现网络犯罪分子可能利用的漏洞(例如过时的软件或固件)或可利用的安全漏洞和错误配置。
实际上,漏洞扫描是指使用专门的 Web 应用程序或漏洞扫描工具来扫描连接到网络的服务器、笔记本电脑和工作站。
安全团队可以执行各种类型的漏洞扫描,例如外部扫描,以查看攻击者在网络外部启动时可能利用的已识别漏洞。或者内部漏洞扫描,他们可以扫描内部人员可以利用的漏洞,例如暴露的密码哈希。他们还可以执行经过身份验证的扫描,使用特权凭据来检测由弱密码、恶意软件或未经身份验证的扫描引起的威胁,以查找操作系统、侦听开放端口的服务等中的弱点,以从攻击者的角度查看其网络。
事实上,一些安全标准,如支付卡行业数据安全标准 (PCI DSS),要求组织定期进行漏洞扫描。
漏洞扫描的局限性
漏洞扫描提供了系统的扫描过程,作为对数字环境执行安全测试以查找弱点的一部分。它通常使用自动化功能将配置和软件版本与已知漏洞的数据库进行比较,并在发现匹配时标记潜在的安全风险。虽然多年来它一直是网络安全的重要组成部分,但数字化转型加剧了这一过程,导致组织正在努力克服一些限制,包括以下限制:
1.仅限于已知漏洞:漏洞扫描程序将扫描您的设备以查找其开发人员所知的每个漏洞。这里的关键词是“了解”。面对不熟悉的漏洞,例如尚未添加到数据库的新漏洞,扫描器将无法标记它们。这使得组织很容易受到零日威胁。
2.误报和漏报:漏洞扫描并不完美。它们可能会返回误报(即系统中不存在的漏洞)和漏报(即系统中存在但被扫描程序遗漏的漏洞)。为了确保这种情况不会发生,您需要自定义扫描配置并验证扫描结果 - 否则,扫描将继续返回不准确的结果并导致 IT 团队产生警报疲劳。
3.不可利用的漏洞:并非漏洞扫描发现的每个漏洞都可以在系统中利用。即使漏洞是可利用的,也可以采取控制措施来降低这种风险。漏洞扫描不会考虑到这一点。
4.不可修补的风险和错误配置:数字化转型通常会带来传统漏洞之外的风险。这些风险包括配置错误、登录页面暴露、加密协议薄弱或证书过期。传统的漏洞管理工具可能无法有效捕获和解决这些不可修补的风险,从而使组织面临潜在的安全漏洞。
5.缺乏可见性:漏洞扫描主要关注端点和已知的网络资产。经常错过影子 IT、物联网设备、云服务和现代攻击面的其他组件,留下攻击者可以利用的盲点。此外,通过漏洞扫描,只能获得有关扫描时系统中存在的风险的信息。
6.缺乏上下文:当扫描返回漏洞列表时,不一定清楚安全团队应该首先关注哪些漏洞,也不清楚为什么。安全团队需要分析结果,以识别潜在的风险漏洞,并了解它们如何适应更大的业务背景。
漏洞扫描与渗透测试
漏洞扫描是一种查找系统中是否存在弱点的方法,但它并不能显示哪些弱点使系统面临风险。
另一方面,渗透测试不仅发现弱点,而且旨在利用它们来了解网络犯罪分子渗透系统的级别,即模拟全面攻击。渗透测试或“笔测试”可以帮助组织了解特定漏洞对其环境造成的风险。
与通常完全自动化的漏洞扫描不同,笔测试往往涉及人类黑客,他们在渗透测试完成后提供完整的测试结果报告、发现的漏洞的严重性和技术建议。
由于笔测试比漏洞扫描更昂贵,因此它们通常发生的频率要低得多。
ASM 在加强网络安全防御方面的作用
为了突破漏洞扫描的局限性,组织必须将注意力从单个漏洞转移到更广泛的攻击面概念。攻击面包括您的系统、应用程序和数据面临潜在威胁的所有点。它是您组织的整个数字足迹,包括已知和未知资产。
漏洞扫描可以为提供有关风险来自何处的重要线索,但攻击面管理 (ASM) 可以快速、最新地了解实际需要关注的网络威胁。
通过全面映射您的攻击面,ASM 向安全团队展示在执行修复时根据每项资产的重要性和暴露级别确定其工作优先级的位置。
监控您的攻击面使您能够检测新的威胁,例如模仿您的域的恶意软件或网络钓鱼站点、未经授权的子域或可疑的 SSL 证书。
根据《2023 年数据泄露成本报告》,部署 ASM 解决方案的组织能够识别和遏制数据泄露的概率是未部署 ASM 解决方案的组织的 75%。
持续威胁监控的重要性
一旦清楚地了解了攻击面,您就可以实施持续的威胁监控,以便在新漏洞和新出现的威胁被利用之前及时了解它们。它为组织提供了对其不断发展的数字环境的主动、实时洞察,超越了传统的网络安全。
确保 ASM 见解与漏洞管理工具无缝共享,能够根据可能性和影响来确定漏洞的优先级并解决它们,从而缩小 ASM 和漏洞管理之间的差距,从而对安全风险做出更全面、更有针对性的响应。
外部攻击面管理与持续自动化红队结合起来,为有效的持续威胁暴露管理 (CTEM) 计划奠定了坚实的基础。可以更好地了解独特的威胁情况,从而可以实施补救措施来减轻和最大程度地减少最相关的风险。
超越漏洞扫描
仅通过漏洞扫描无法有效地保护攻击面免受可利用漏洞的侵害。摆脱查找和修复方法并采用主动方法,超越其限制并采取更全面的安全方法至关重要。