在某些企业，“漏洞管理”完全是通过扫描工具来实现的，对于这些企业而言，提高漏洞管理能力仅意味着增加更多的扫描仪来确保漏洞管理。

　　但是基于网络的漏洞扫描仪和web应用程序扫描工具真的能够确保在攻击者利用漏洞前帮助企业识别和修复安全漏洞吗?大多数企业都不太清楚这些工具的具体功能，更不了解这些工具的缺陷。

　　漏洞扫描仪主要存在三个缺陷，这三个问题带来的安全风险可以通过向漏洞管理程序增加其他技术来缓解。

　　无论缓解战略是否能够用于弥补这些扫描仪的缺陷，首先我们应该清楚这些问题所在。

　　第一个问题在于身份验证。基于网络的漏洞扫描仪并不是完善的工具，即使进行正确配置，这些工具也只能检测出具有签名的漏洞。虽然匿名(未验证)扫描能够缓解这个问题，不过这还是大大降低了扫描仪的有效性。

　　第二个问题是扫描仪无法与自定义应用程序一起使用。基于CVE的已知漏洞只是大多数企业面临的一小部分攻击面。企业网络内部的大部分主流应用程序和操作系统都部署了安全检测，但是企业内部编写或者外包给第三方的自定义应用程序呢?自定义程序可没有CVE。

　　最后，大部分漏洞扫描工具可以找出薄弱点，但是却无法预测复杂的攻击计划。虽然漏洞扫描仪通常能够检测和报告最初漏洞被利用问题，却无法辨别攻击者试图对企业网络发动的复杂攻击。

　　自动化漏洞扫描仪能够帮助企业更好地管理和理解网络环境中可能存在的安全风险，然而，像其他所有工具一样，这些漏洞扫描也存在缺陷，企业应该更好地理解这些工具的功能以及局限性。