為什么漏洞掃描程序不足以防止勒索軟件攻擊

漏洞掃描器仍然是保護(hù)企業(yè)和政府網(wǎng)絡(luò)防御必不可少的工具。但鑒于當(dāng)今網(wǎng)絡(luò)威脅形勢迅速增加的復(fù)雜性，這些掃描儀所起到的作用不足以戰(zhàn)勝越來越多的漏洞警報(bào)。

從這3方面來看僅僅依靠使用漏洞掃描程序，在當(dāng)代威脅環(huán)境中已經(jīng)過時(shí)了：

1. 勒索軟件攻擊者應(yīng)該被稱為“威脅討債者”

Skybox研究實(shí)驗(yàn)室報(bào)告稱，2021年上半年發(fā)現(xiàn)了9,444個(gè)新的漏洞，NIST的漏洞數(shù)據(jù)庫隨后披露，2021年再次打破了記錄。截至12月9日，在生產(chǎn)代碼中發(fā)現(xiàn)了18,400個(gè)漏洞。因此，通過靜態(tài)代碼檢測或開源組件分析等，在編寫代碼期間查找、發(fā)現(xiàn)并及時(shí)修改代碼中的缺陷及安全漏洞，是降低安全漏洞的一個(gè)有效手段。

2. 攻擊面連續(xù)體

隨著數(shù)字化轉(zhuǎn)型的加速，攻擊面在關(guān)鍵基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)和云資產(chǎn)中的復(fù)雜性急劇擴(kuò)大。隨著運(yùn)營技術(shù) (OT) 資產(chǎn)上線，黑客已經(jīng)認(rèn)識到他們的相對安全弱點(diǎn)，經(jīng)常利用未修補(bǔ)的設(shè)備，有時(shí)甚至是無法修補(bǔ)的OT漏洞。此外，Skybox安全研究實(shí)驗(yàn)室指出，從2020 年到2021年，OT漏洞同比大幅增長46%。

3. 即時(shí)修復(fù)的挑戰(zhàn)越來越大

理想情況下，每個(gè)新漏洞在發(fā)現(xiàn)以后都會立即被修復(fù)，但面對廣泛且深度嵌套的零日漏洞(例如Log4Shell)，并非總是可以快速修復(fù)。使這一挑戰(zhàn)更加復(fù)雜的是，盡管補(bǔ)丁程序長期可用，威脅行為者仍繼續(xù)將舊漏洞作為武器，利用網(wǎng)絡(luò)安全團(tuán)隊(duì)尚未解決的大量已知弱點(diǎn)。因此很明顯舊的掃描和修補(bǔ)方法不適合我們當(dāng)前的威脅環(huán)境。

為什么掃描和修補(bǔ)不太成功?

大多數(shù)安全工具包都需要漏洞掃描程序。然而，被動地檢測和提醒組織存在漏洞意味著公司無法跟上網(wǎng)絡(luò)威脅的步伐。漏洞掃描器類似于為安全團(tuán)隊(duì)配備了一個(gè)警報(bào)系統(tǒng)，該系統(tǒng)不斷地在各處閃爍燈光和鳴響警報(bào)器。

考慮到許多組織的數(shù)字基礎(chǔ)設(shè)施正在經(jīng)歷的重大轉(zhuǎn)變，以及復(fù)雜和快速發(fā)展的威脅狀況，依賴于漏洞掃描器作為第一道防線的掃描和修補(bǔ)方法根本不足以保護(hù)組織免受當(dāng)前和未來的威脅。

因此，在現(xiàn)代依賴漏洞掃描程序是一種危險(xiǎn)的策略，因?yàn)槁┒幢环e極且定期地武器化以進(jìn)行成功的勒索軟件攻擊。威脅形勢的動態(tài)轉(zhuǎn)變要求組織處理其網(wǎng)絡(luò)安全計(jì)劃的方式也發(fā)生同樣動態(tài)的轉(zhuǎn)變。

數(shù)字化轉(zhuǎn)型無意中滋生新漏洞

現(xiàn)代威脅形勢的挑戰(zhàn)被放大，這促使許多組織在沒有充分考慮安全影響的情況下進(jìn)行急促地?cái)?shù)字化轉(zhuǎn)型。企業(yè)領(lǐng)導(dǎo)者現(xiàn)在意識到突然轉(zhuǎn)向遠(yuǎn)程工作所帶來的安全風(fēng)險(xiǎn)。

這些擔(dān)憂(和現(xiàn)實(shí))在嚴(yán)重依賴 OT 設(shè)備的行業(yè)中尤為強(qiáng)烈。從民用和制造基礎(chǔ)設(shè)施到物聯(lián)網(wǎng)設(shè)備，以前與數(shù)字世界脫節(jié)的技術(shù)越來越多地與IT基礎(chǔ)設(shè)施融合，給這些組織帶來了新的安全風(fēng)險(xiǎn)。

開創(chuàng)主動網(wǎng)絡(luò)安全的新方法

要開創(chuàng)主動防御網(wǎng)絡(luò)安全的新方法，可以通過以下三個(gè)方面來看：

資產(chǎn)和網(wǎng)絡(luò)可見性：我們是否了解需要保護(hù)的網(wǎng)絡(luò)整個(gè)攻擊面?

暴露分析：我的攻擊面暴露了哪些可利用的安全漏洞?

補(bǔ)丁之外的有針對性的修復(fù)：我們?nèi)绾巫詣踊迯?fù)?如果我們不能修補(bǔ)，那怎么辦?

從長遠(yuǎn)來看，漏洞掃描器不會是網(wǎng)絡(luò)安全防御的終點(diǎn)。全地發(fā)現(xiàn)漏洞、暴露分析和最佳修復(fù)路徑相結(jié)合，將為首席信息安全官提供預(yù)防漏洞的洞察力。

因此，我們正處于安全團(tuán)隊(duì)浪費(fèi)時(shí)間和資源與威脅“打地鼠”的時(shí)代的終結(jié)。網(wǎng)絡(luò)安全行業(yè)終于開始接受一個(gè)事實(shí)，即暴露的漏洞會導(dǎo)致勒索軟件入侵。不要試圖修補(bǔ)所有的東西。相反，應(yīng)該在軟件開發(fā)期間發(fā)現(xiàn)合關(guān)注那些暴露和被利用的漏洞。

文章來源：https://www.helpnetsecurity.com/2022/01/31/vulnerability-scanners/