漏洞扫描应该多久扫描一次？

从发现漏洞到黑客利用该漏洞之间的时间比以往更短 –仅 12 天。因此，组织开始认识到扫描之间不留太长间隙的重要性，并且“持续漏洞扫描”一词变得越来越流行，这是有道理的。

黑客不会等待下一次扫描#

一次性扫描可以是一种简单的“一劳永逸”扫描，旨在向客户、审计员或投资者证明您的安全状况，但更常见的是，它们指以半定期间隔启动的定期扫描 - 传统上的行业标准是季刊。

这些定期扫描为您提供漏洞状态的时间点快照 - 从 SQL 注入和 XSS 到错误配置和弱密码。如果他们只要求每季度进行一次漏洞扫描，则非常适合合规性，但对于持续监督您的安全状况或强大的攻击面管理计划则不太有利。由于每 20 分钟创建一个新的 CVE，您随时都可能面临过时的安全视图的风险。

仅去年披露的 25,000 个 CVE 漏洞中的一些很可能会在一次性或半定期扫描之间的间隙影响您和您的企业。只要看看您需要多久更新一次笔记本电脑上的软件就可以了……漏洞也可能需要数周甚至数月的时间才能得到修补，到那时可能为时已晚。鉴于这些漏洞可能对您的业务造成潜在损害，2023 年持续扫描是无可替代的。

持续漏洞扫描提供对 IT 环境的 24/7 监控和自动化，以减轻 IT 团队的负担。这意味着可以更快地发现和解决问题，从而为黑客和潜在的违规行为关闭大门。

合规步伐缓慢#

老实说，许多公司开始网络安全之旅是因为有人告诉他们必须这样做，无论是客户还是行业合规框架。这个领域的许多要求可能需要时间来发展，仍然引用诸如“年度渗透测试”或“季度漏洞扫描”之类的内容。这些是多年前的遗留概念，当时攻击者很少，而且这些东西被视为“很高兴拥有”。

因此，许多组织仍然将漏洞扫描视为可有可无或需要勾选的合规性框。但半定期扫描与适当、持续的漏洞测试和管理之间存在着天壤之别，并且理解这种差异对于提高安全性至关重要，而不仅仅是在这方面花钱。

简单的事实是，每天都会有新的漏洞被披露，因此总是存在泄露的可能性，如果您经常更新云服务、API 和应用程序，情况更是如此。一个小小的变化或新的漏洞发布就足以让您暴露在危险之中。这不再是勾选框——持续覆盖现在是“必须具备的”，在网络安全之旅中更加成熟的组织意识到了这一点。

持续攻击面监控#

需要监控的不仅仅是新漏洞。每天，当您在网络中添加或删除设备、向互联网公开新服务或更新应用程序或 API 时，您的攻击面都会发生变化。随着攻击面的变化，可能会暴露出新的漏洞。

为了在新漏洞被利用之前发现它们，您需要始终了解暴露的内容和位置。许多旧版工具无法提供正确级别的详细信息或业务上下文来确定漏洞的优先级；他们对所有攻击向量（外部、内部、云）一视同仁。有效的持续攻击面监控应提供业务背景并涵盖所有攻击媒介（包括云集成和网络更改），才能真正有效。

攻击面管理也不再只是一个技术考虑因素。董事会越来越认识到它作为保障运营的强大网络安全计划的一部分的重要性，同时也是许多网络保险保费的关键要求。

多少是太多了？#

连续扫描并不意味着持续扫描，这可能会产生一系列几乎不可能保持最佳状态的警报、触发器和误报。这种警报疲劳会减慢您的系统和应用程序的速度，并使您的团队在优先考虑问题和消除误报方面陷入困境。

多久扫描一次合规性？#

这取决于您正在寻找哪种合规性！虽然 SOC 2 和 ISO 27001 为您提供了一些回旋余地，但 HIPAA、PCI DSS 和 GDPR 明确规定了扫描频率，从每季度一次到每年一次。但使用这些标准来确定漏洞扫描的正确时间和频率可能不适合您的业务。由于快速变化的安全形势，这样做会增加您面临的安全风险。

如果您想要真正保护您的数字资产，而不仅仅是勾选合规性方框，您需要超越这些标准中规定的要求 - 其中一些标准与当今的安全需求不相符。当今敏捷的 SaaS 企业、处理大量交易或接受银行卡支付的在线零售商，以及在医疗保健和金融服务等严格监管行业中运营的任何人，都需要持续扫描以确保受到适当的保护。

更努力更好更快更强#

传统的漏洞管理已被打破。随着您启动新的云帐户、进行网络更改或部署新技术，技术不断变化，一次性扫描已不足以跟上变化的步伐。

当谈到缩小攻击者希望利用的扫描之间的网络安全差距时，越早越好，但持续是最好的。持续扫描可以减少查找和修复漏洞的时间，提供丰富的威胁数据和补救建议，并根据您的业务需求上下文确定威胁的优先级，从而最大限度地降低风险。

合规性的工作开展，有人主动有人被动，有人积极有人消极。然而，在这个过程中，都在促进网络安全工作的开展。当然，积极主动性工作是形式与内容相统一，好似肉体与灵魂的统一；而消极被动则形式大于内容，缺少灵魂。

原文始发于微信公众号（河南等级保护测评）：漏洞扫描应该多久扫描一次？