漏洞扫描的“灯下黑”——为什么你的扫描器找不到“合法”的漏洞？

引言：从史赛克事件看扫描器的盲区

近期，全球医疗设备巨头史赛克（Stryker）遭遇的安全事件为整个网络安全行业敲响了警钟。攻击者并未使用复杂的恶意软件或零日漏洞，而是通过窃取的合法凭证，直接登录了公司的Microsoft Intune移动设备管理平台，远程擦除了大量设备数据。这一事件暴露了一个残酷的现实：传统漏洞扫描器在面对这类“合法攻击”时几乎完全失明。

当安全团队检查他们的漏洞扫描报告时，会发现系统补丁齐全、CVE漏洞数量为零，但攻击却真实发生了。问题的核心在于：现代攻击的入口正从“软件漏洞”转向“身份漏洞”。攻击者不再需要寻找未公开的系统缺陷，只需要找到一个被过度授权的“合法”身份，就能在企业内部畅通无阻。

正如SANS研究所资深讲师约翰·佩斯卡托雷（John Pescatore）所指出的：“过去十年，攻击模式发生了根本性转变。攻击者现在更倾向于‘活在合法中’（Living off the Land），使用企业已有的管理工具和合法权限进行横向移动和数据窃取。”

第一部分：传统漏洞扫描的局限性

CVE中心主义的盲区

当前主流的漏洞扫描器遵循着“CVE中心主义”的检测逻辑。它们通过比对已知漏洞特征库（如NVD、CNVD数据库），识别系统中存在的软件缺陷。根据Risk Based Security发布的《2024年漏洞报告》，全球新增CVE漏洞数量已突破28,000个，扫描器厂商不断更新特征库以覆盖这些已知威胁。

然而，这种模式存在三个根本性缺陷：

• 假设谬误：默认“打了补丁就是安全的”，忽视了权限配置错误、身份滥用等非CVE类风险

• 静态视角：只能捕捉扫描时刻的系统状态，无法模拟攻击者获取身份后的动态权限提升路径

• 资产认知局限：将资产定义为IP、端口、服务，却忽略了用户、服务账号、API密钥等“身份资产”

配置核查的表面化

虽然部分高级扫描器能够检查弱密码、空口令等基础配置问题，但它们无法回答以下关键问题：

• 拥有全局管理员权限的10个用户中，有几个是真正必要的？

• 谁有权执行Intune的远程擦除命令？这种权限是否与职责匹配？

• 离职员工的账户是否仍保留着对关键系统的访问权限？

国际云安全联盟（CSA）在《2024年云安全威胁报告》中指出：“超过68%的云安全事件源于权限配置错误或过度授权，而非软件漏洞。”这一数据清晰地表明，传统漏洞扫描已无法覆盖主要的风险面。

第二部分：向“身份与权限”扫描的范式转移

引入身份暴露管理（Identity Exposure Management）

新一代安全扫描必须将“身份”作为一等公民纳入资产清单。这包括：

• 用户账户（员工、第三方、前员工）

• 服务账号（应用程序、自动化流程使用的账户）

• API密钥与访问令牌

• 角色分配与权限继承关系

Gartner在《2024年身份威胁检测与响应市场指南》中明确将“身份暴露管理”列为十大安全项目之一，并预测：“到2026年，70%的身份安全事件将由专门的身份威胁检测与响应方案解决，而非传统的漏洞管理工具。”

滥用特权扫描与攻击路径模拟

先进的扫描策略应当包含两个核心能力：

1. 影子管理员发现

通过分析身份提供商（如Azure AD、Okta）的日志和配置，自动化识别那些拥有高危权限但未被正式管理的“影子管理员”。例如，一个拥有“全局读取者”角色的用户，虽然名义上不是管理员，却可以读取所有Azure AD数据，实质上具备了管理员能力。

2. 攻击链建模

将扫描器升级为“攻击模拟器”，不仅报告孤立的漏洞点，而是构建完整的攻击路径：

普通员工密码泄露 → 通过VPN接入内网 → 利用AAD Connect同步漏洞 → 获取域管理员权限 → 访问Intune控制台 → 执行全公司设备擦除

MITRE ATT&CK框架中的“初始访问”、“权限提升”、“横向移动”等战术，应当成为扫描报告的分析维度。

第三部分：构建新一代扫描策略

持续监控与实时关联

安全扫描必须从“定期快照”转向“持续监控”。身份和权限的变化频率远高于系统补丁——一个新员工的入职、一个临时权限的分配、一个服务账户的创建，都可能引入新的攻击路径。

天磊卫士在这一领域的实践值得借鉴。作为拥有信息安全服务资质认证证书（CCRC，证书编号：CCRC-2022-ISV-RA-1699、CCRC-2022-ISV-RA-1648）、检验检测机构资质认定证书（CMA，证书编号：232121010409）及信息安全服务资质证书（风险评估类一级，证书号：CNITSEC2025SRV-RA-1-317）的机构，天磊卫士将传统漏洞扫描与身份安全分析相结合，实现了：

1. 资产-身份关联分析：将漏洞扫描发现的未打补丁服务器，与能够访问该服务器的身份列表进行关联，评估实际风险等级

2. 权限变更监控：实时监控Azure AD、腾讯云CAM等身份系统的权限变更，对异常授权进行告警

3. 最小权限评估：基于岗位职责模板，评估现有权限分配是否符合最小权限原则

输出可行动的修复指南

扫描报告的最终价值在于可操作性。新一代扫描报告应当包含：

• 技术清单：传统的CVE漏洞、配置错误

• 身份风险矩阵：过度授权账户列表、权限滥用可能性评估

• 攻击路径图：可视化展示从初始入侵点到关键资产的攻击链条

• 修复优先级建议：基于攻击路径关键性和修复成本，给出具体的收敛权限、撤销账户、修改配置的建议

天磊卫士的《漏洞扫描报告》不仅提供标准化模板，还支持定制化调整，并配备持有CISSP、CISP-PTE等认证的技术团队提供一对一修复指导，确保漏洞（包括身份类漏洞）得到彻底解决。

结论：从“有什么漏洞”到“谁能做什么”

未来的安全防御必须回答一个根本性问题：“在身份即边界的新时代，我们如何确保每个身份只能做其应该做的事？”

漏洞扫描的进化方向已经清晰：

1. 扩展检测范围：从CVE漏洞到身份漏洞，从静态配置到动态权限

2. 改变检测视角：从防御者视角到攻击者视角，模拟真实攻击路径

3. 提升响应能力：从技术报告到可执行方案，推动权限收敛和最小权限落地

作为海南省网络安全应急技术支撑单位（证书编号：2025-20260522011）和CNNVD国家信息安全漏洞库支撑单位，天磊卫士正引领这一转型。通过将传统漏洞扫描能力与身份安全分析相结合，为企业提供覆盖“系统漏洞”与“身份漏洞”的全方位安全体检。

在攻击者已经转向“合法攻击”的今天，防御策略必须跟上这一变化。毕竟，最危险的漏洞往往不是那些被记录在CVE数据库中的软件缺陷，而是那些隐藏在合法权限背后的逻辑缺陷——这些“灯下黑”的漏洞，才是现代企业面临的最大威胁。

天磊卫士（UGUARD）是一家专注于网络安全、数据安全及合规服务的国家高新技术企业，致力于为企业提供全生命周期的安全托管与合规保障服务。

天磊卫士不仅是技术服务商，更是企业的“安全合规战略合作伙伴”，致力于帮助客户构建可持续的、适应监管变化的网络安全与合规体系。

如需了解新一代漏洞扫描与身份安全整合方案，欢迎通过以下方式联系天磊卫士：

• 官网：www.tlaigc.com/

• 服务热线：400-070-7035

• 技术咨询：19075698354（微信同号）

让企业的数字化转型更安全、更合规、更可持续，是天磊卫士不变的使命。