为什么漏洞扫描程序不足以防止勒索软件攻击

漏洞扫描器仍然是保护企业和政府网络防御必不可少的工具。但鉴于当今网络威胁形势迅速增加的复杂性，这些扫描仪所起到的作用不足以战胜越来越多的漏洞警报。

从这3方面来看仅仅依靠使用漏洞扫描程序，在当代威胁环境中已经过时了：

1. 勒索软件攻击者应该被称为“威胁讨债者”

Skybox研究实验室报告称，2021年上半年发现了9,444个新的漏洞，NIST的漏洞数据库随后披露，2021年再次打破了记录。截至12月9日，在生产代码中发现了18,400个漏洞。因此，通过静态代码检测或开源组件分析等，在编写代码期间查找、发现并及时修改代码中的缺陷及安全漏洞，是降低安全漏洞的一个有效手段。

2. 攻击面连续体

随着数字化转型的加速，攻击面在关键基础设施、物联网和云资产中的复杂性急剧扩大。随着运营技术 (OT) 资产上线，黑客已经认识到他们的相对安全弱点，经常利用未修补的设备，有时甚至是无法修补的OT漏洞。此外，Skybox安全研究实验室指出，从2020 年到2021年，OT漏洞同比大幅增长46%。

3. 即时修复的挑战越来越大

理想情况下，每个新漏洞在发现以后都会立即被修复，但面对广泛且深度嵌套的零日漏洞(例如Log4Shell)，并非总是可以快速修复。使这一挑战更加复杂的是，尽管补丁程序长期可用，威胁行为者仍继续将旧漏洞作为武器，利用网络安全团队尚未解决的大量已知弱点。因此很明显旧的扫描和修补方法不适合我们当前的威胁环境。

为什么扫描和修补不太成功?

大多数安全工具包都需要漏洞扫描程序。然而，被动地检测和提醒组织存在漏洞意味着公司无法跟上网络威胁的步伐。漏洞扫描器类似于为安全团队配备了一个警报系统，该系统不断地在各处闪烁灯光和鸣响警报器。

考虑到许多组织的数字基础设施正在经历的重大转变，以及复杂和快速发展的威胁状况，依赖于漏洞扫描器作为第一道防线的扫描和修补方法根本不足以保护组织免受当前和未来的威胁。

因此，在现代依赖漏洞扫描程序是一种危险的策略，因为漏洞被积极且定期地武器化以进行成功的勒索软件攻击。威胁形势的动态转变要求组织处理其网络安全计划的方式也发生同样动态的转变。

数字化转型无意中滋生新漏洞

现代威胁形势的挑战被放大，这促使许多组织在没有充分考虑安全影响的情况下进行急促地数字化转型。企业领导者现在意识到突然转向远程工作所带来的安全风险。

这些担忧(和现实)在严重依赖 OT 设备的行业中尤为强烈。从民用和制造基础设施到物联网设备，以前与数字世界脱节的技术越来越多地与IT基础设施融合，给这些组织带来了新的安全风险。

开创主动网络安全的新方法

要开创主动防御网络安全的新方法，可以通过以下三个方面来看：

资产和网络可见性：我们是否了解需要保护的网络整个攻击面?

暴露分析：我的攻击面暴露了哪些可利用的安全漏洞?

补丁之外的有针对性的修复：我们如何自动化修复?如果我们不能修补，那怎么办?

从长远来看，漏洞扫描器不会是网络安全防御的终点。全地发现漏洞、暴露分析和最佳修复路径相结合，将为首席信息安全官提供预防漏洞的洞察力。

因此，我们正处于安全团队浪费时间和资源与威胁“打地鼠”的时代的终结。网络安全行业终于开始接受一个事实，即暴露的漏洞会导致勒索软件入侵。不要试图修补所有的东西。相反，应该在软件开发期间发现合关注那些暴露和被利用的漏洞。

文章来源：https://www.helpnetsecurity.com/2022/01/31/vulnerability-scanners/