說明

有什麼會阻礙我們到達目標，舉凡車子煞車有問題、輪胎平了，甚至路上有石頭、地陷太滑等等

廣義來說這些都是弱點，可能會產生各種負面狀況，輕則拋錨，重則摔車，造成無法準時到或再也無法到的後果

這時要選擇承擔哪些風險

• 專家告訴你有什麼弱點，會有那些風險
• 相關人員承擔這些危害
• 最終有人評估後做出選擇

如何知道有那些弱點

• 新聞情資
• 弱點掃描工具、攻擊模擬工具BAS(Breach and Attack Simulation)
• 專家服務(滲透、紅隊)

一些常見問題

資源不足，在基於80/20法則以重要的處理，哪些是重要的?

很多地方資安都是兼職，處理資安業務時間不多，建議

1. 情資部分 將"金融資安資訊分享與分析中心"加到我的最愛，每日上班打開，這些漏洞沒修往往會造成重大災害
   https://www.fisac.tw/STIX_CASE/QueryStixCase/Query
   舉個例子2023/07/20公告Citrix ADC、Citrix Gateway存在高風險漏洞(CVE-2023-3519)，2023/08/16 IThome新聞"近2千臺Citrix NetScaler伺服器遭遇零時差漏洞攻擊，有三分之二已安裝修補程式卻仍受到駭客控制"，

2. 定期弱掃部分，已有對外服務的優先，重要系統次之，在調查時把周圍環境因素算入(後面再介紹)

以風險控管方式處理，低風險就不需要處理?

通常會問這問題公司資源相對足夠，DEVCORE Conference 2023有一個議題"黑魔法、大壞蛋得崩，讓四個臭蟲變成漏洞吧！" https://conf.devco.re/2023/agenda_hackers/

DEVCORE 資深紅隊演練專家 Cyku 及 技術專案經理 Crystal 將透過實際案例，分享攻擊者如何將四個 CVSS 幾乎 0.0 分的廢洞化腐朽為神奇，串成 RCE 漏洞。

通常都是以資產價值決定是否要處理，2萬的手機修理要1萬可能就會猶豫。

另一種情況平常手機就單手拿著再使用，但如果等等有重要電話可能就改雙手拿著，甚至放在桌上，手滑掉到地上的風險雖低但可能發生，當你覺得不能接受風險造成的後果時就會以最保險的方式。

結論

這些新弱點常常都是引發資安事件的因素，難以單靠週期性的弱掃發現，因此也不能怪長官用IThome新聞質問，這方式不只簡易還有效，