⚠️ 免責聲明
本文為學習筆記與模擬作業情境，整合公開報導、權威文件與實務經驗供教學與練習使用。非法律或正式調查報告；實際應用時請依組織政策與法規執行。

目錄

1. 核心名詞與權威定義（NIST / CISA / FIRST / OWASP）
2. 為何漏洞管理常失敗：常見五大斷點
3. 作戰藍圖（端到端流程與角色分工）
4. 風險評分與優先級（CVSS × KEV × 外曝面 × 業務衝擊）
   4.1 CVSS 與 EPSS 的比較與協作
5. 修補節奏（Patch Cadence）與變更治理（CAB / SRE）
6. 例外與風險接受（Exception & Risk Acceptance）
7. 指標與儀表板（KPI / KRI）
8. 自動化工具鏈（SBOM / SCA / CI/CD / SIEM / EDR）
9. SBOM 與供應鏈安全補充（迷思 × 工具 × 導入計畫 × 成熟度模型）
10. 落地模板（政策、Jira 工作流、CAB 清單、通報話術）
11. 練習任務（Practice）
12. 延伸閱讀與來源彙整

1) 核心名詞與權威定義

• 漏洞（Vulnerability）

  NIST：系統、產品或服務中可被威脅行為者利用的弱點。
  來源：NIST CSRC

• 漏洞管理（Vulnerability Management）

  NIST CSF：涵蓋識別、分析、優先排序、修補與監控之持續流程。
  來源：NIST Cybersecurity Framework

• CVSS（Common Vulnerability Scoring System）

  FIRST：通用漏洞評分框架，現行主流版本 v3.1，v4.0 增加環境與威脅向量。
  來源：FIRST

• NVD（National Vulnerability Database）

  NIST 維護的國家漏洞資料庫，收錄 CVE 與 CVSS 資訊。
  來源：NVD

• CISA KEV（Known Exploited Vulnerabilities Catalog）

  CISA 公布的「已知被利用漏洞」清單，必須優先修補。
  來源：CISA KEV

• SBOM（Software Bill of Materials）

  NIST：軟體成分清單，揭露軟體中的所有開源與第三方元件，利於追蹤漏洞、授權與供應鏈風險。

2) 為何漏洞管理常失敗：常見五大斷點

1. 資產盤點不完整：雲端、容器、影子 IT 無納管 → 漏掃、漏修。
2. 只看 CVSS：忽略 KEV、外曝面、業務關聯度。
3. 修補節奏混亂：遇到變更凍結就全面停擺，缺乏滾動補丁策略。
4. 例外無治理：不能修就放著，無補償控制、無到期日。
5. 無閉環驗證：缺少 MTTR、覆蓋率、曝險半衰期的追蹤；修補成效不透明。

3) 作戰藍圖（端到端流程）

流程
資產盤點 → 漏掃/偵測 → 去重整合 → 風險評分 → 派工/排程 → 變更治理 → 修補/緩解 → 驗證/監控 → 報表與回饋

角色分工

• SecOps：政策與稽核、KEV 追蹤、指標報表
• IT/Ops/SRE：修補執行、排程、回退策略
• App/Dev：應用程式升版、SCA、相容性測試
• 產品/業務：協調變更窗口、風險接受判斷
• 供應商：韌體/代理程式更新、SLA 履行

4) 風險評分與優先級

多因子優先級模型

優先分數 = CVSS Base
         + 3×KEV(是=1)
         + 2×外曝面(是=1)
         + 2×業務關鍵(是=1)
         + 1×已公開 exploit (是=1)
         − 1×已有補償控制

決策表

• P0 (72 小時內)：KEV=是 且外曝面=是
• P1 (14 天內)：CVSS ≥ 9 或 exploit POC 出現
• P2 (30 天內)：CVSS 7–8.9，關鍵內網系統
• P3 (60–90 天內)：CVSS < 7，一般性漏洞

4.1 CVSS 與 EPSS 的比較與協作

定義

• CVSS（Common Vulnerability Scoring System）

  • 國際：由 FIRST 發布的漏洞嚴重度標準，評估漏洞本身的「技術嚴重性」。
  • 台灣：資安院、TWCERT/CC、金融業皆以 CVSS 作為漏洞公告與修補優先順序的依據。
  • 定位：靜態評分，代表漏洞「有多危險」。

• EPSS（Exploit Prediction Scoring System）

  • 國際：由 FIRST / EPSS SIG 維護，透過機器學習與威脅情報預測「漏洞在未來 30 天內被利用的機率」。
  • 台灣：金融、電信與半導體供應鏈已有業者內部測試導入 EPSS，補強 CVSS 的不足。
  • 定位：動態評分，代表漏洞「多快會被打」。

差異性與互補關係

👉 結論：

• CVSS 告訴你「這個洞有多危險」。
• EPSS 告訴你「這個洞多快會被打」。
• 兩者協作 → 更精準的修補決策。

在檢測報表中的定位

• CVSS：弱掃（Nessus、Qualys、OpenVAS）報表中，標示漏洞嚴重度（Critical/High/Medium/Low）。

• EPSS：以「利用機率 %」呈現，用於排序修補優先順序。

• 協作方式：

  • 報表第一層：依 CVSS 分級。
  • 報表第二層：在 Critical / High 中，再依 EPSS 機率排序。
  • 視覺化：CVSS (Y 軸) × EPSS (X 軸) 四象限圖。

相關軟體與平台

• CVSS 原生：Nessus、Qualys、Rapid7 InsightVM、OpenVAS。

• EPSS 整合：

  • FIRST EPSS API
  • 商業平台：Kenna Security、RiskSense 等已支援 EPSS 加權。

• 台灣實務：金融業與資安院合作「CVSS+EPSS 雙分數制」報表，作為董事會 KPI 報告依據。

協作運用方式

1. 弱掃整合：匯出 CVE 清單 → 呼叫 EPSS API → 建立 CVSS×EPSS 加權表。

2. 優先級矩陣：

   • 高 CVSS + 高 EPSS = P0（立即修補）
   • 高 CVSS + 低 EPSS = P1（定期修補）
   • 低 CVSS + 高 EPSS = P2（監控 + 選擇性修補）
   • 低 CVSS + 低 EPSS = P3（季度批次）

3. 儀表板：Grafana/Power BI 以散點圖呈現。

4. 政策建議：將「CVSS ≥ 9.0 或 EPSS > 0.7」列為必修條件。

5) 修補節奏與變更治理

• 快速熱修：P0/P1 → 每週固定窗口
• 月度修補波：P2/P3 納入例行 patch cycle
• 季度強化：韌體、大版本、配置基線

變更治理

• 最小變更包
• 灰度釋出 / Canary 機群
• 回退計畫
• 凍結窗口的補償控制（WAF、ACL）

6) 例外與風險接受

• 例外條件：短期無法修補（供應商未出 patch、業務不可停機）。
• 補償控制：至少兩種 → WAF/IPS 規則、EDR 阻擋、ACL 分段、關閉功能。
• 例外單：包含 CVE、CVSS、KEV 狀態、受影響資產、到期日（≤30/60 天）、責任人。
• 逾期：自動通報 CAB/高階管理。

7) 指標與儀表板

• 修補 SLA 達標率
• MTTR（分嚴重度）
• 曝險半衰期
• 覆蓋率（資產 / 雲區）
• 例外老化率

8) 自動化工具鏈

• 開發鏈：SCA (PR Gate)、SBOM 生成、DAST (staging)、容器掃描
• IT/端點：EDR、Ansible/SCCM、自動 patch pipeline
• 監控驗證：SIEM log correlation、CIS 基線自動 rerun
• SOAR Playbook：KEV 新增 → 關聯資產 → Jira 任務 → 通知 Owner → SLA 追蹤

9) SBOM 與供應鏈安全補充

迷思六：掃描沒漏洞 ≠ 安全

工具選擇決策

SBOM 工具地圖

套件管理器與檔案

成熟度模型

12 個月導入計畫

10) 落地模板

漏洞管理政策（摘要）

• 優先級：採用多因子模型；KEV=必修
• 時限：P0≤72h；P1≤14d；P2≤30d；P3≤90d
• 例外：補償控制 + 到期日 + 責任人
• 稽核：每月儀表板、季度委外掃描、年度滲透測試

Jira 工作流
Open → Triage → Assigned → In-Change → Remediated → Verified → Closed

CAB 清單

• 是否可灰度釋出？
• 回退步驟？
• 效能與依賴影響？
• 異常監控指標是否準備？

對外通報話術（範例）

我們已完成 [CVE-XXXX] 修補，過程中服務可能短暫延遲，但不影響資料完整性。如需協助請聯繫 [窗口]。

11) 練習任務

1. 對照 KEV，篩出你組織的 P0 漏洞，計算目前 SLA 達標率。
2. 在 CI/CD 中導入 Syft + Grype，嘗試自動產生 SBOM 並比對漏洞。
3. 選一個歷史漏洞（如 Log4Shell），模擬「例外申請 + 補償控制 + 到期追蹤」全流程。
4. 設計一個 12 個月導入計畫，提出 KPI 與成熟度評估。

12) 延伸閱讀

• NIST Cybersecurity Framework
• NVD（國家漏洞資料庫）
• FIRST — CVSS
• FIRST — EPSS
• CISA KEV
• OWASP Top 10
• CycloneDX（SBOM 標準）
• SPDX（SBOM 標準）