⚠️ 免責聲明
本文為學習筆記與模擬教學，引用國際公開文件（NIST、ISO、(ISC)²、ENISA、CISA）與公開新聞報導整理。非正式教材或考試指定用書，實際考試請依官方 CBK 與最新考綱為準。

前言

「威脅（Threat）」、「弱點（Vulnerability）」與「風險（Risk）」是資安領域最基本卻常被混淆的三個名詞。
Day 16 將以 國際定義 → 真實案例 → IoC/IoA → SOC/IR Playbook → 演練模版 → 視覺化，幫助讀者清楚理解三者的關係與應用。

1. 權威定義（國際來源）

• Threat（威脅）

  任何可能對資產造成不利影響的潛在事件或情境。
  來源：NIST SP 800-30《Risk Assessment Guide》
  🔗 NIST SP 800-30

• Vulnerability（弱點）

  資產或控制措施中的缺陷，可被威脅利用造成影響。
  來源：ISO/IEC 27005《Information Security Risk Management》
  🔗 ISO/IEC 27005

• Risk（風險）

  威脅利用弱點後造成的潛在損害，通常以「可能性 × 衝擊」衡量。
  來源：ISO 31000《Risk Management》｜NIST SP 800-30
  🔗 ISO 31000

2. 案例解析（Threat × Vulnerability × Risk）

國際案例

• Equifax 資料外洩（2017，美國）

  • Threat：駭客利用公開的 Struts CVE 漏洞。
  • Vulnerability：Web 應用未及時修補。
  • Risk：1.47 億筆個資外洩，巨額罰款與品牌損害。
  • 來源：Wikipedia

• Log4Shell（CVE-2021-44228）

  • Threat：攻擊者發送特製請求進行 RCE。
  • Vulnerability：Log4j 元件設計缺陷。
  • Risk：全球供應鏈系統受影響，驅動 SBOM 與 SCA 流程強化。
  • 來源：CISA Guidance

• SolarWinds 供應鏈攻擊（2020，美國）

  • Threat：APT 組織滲透更新渠道。
  • Vulnerability：更新流程缺乏完整簽章驗證。
  • Risk：美國政府與 Fortune 500 企業系統遭滲透。
  • 來源：CISA Report

台灣案例

• 健保資料外洩爭議

  • Threat：外部駭客或內部濫用存取權限。
  • Vulnerability：去識別化不足、存取控管不嚴。
  • Risk：醫療隱私外洩，影響公信力與政策信任。
  • 來源：中央社 CNA

• 台灣金融業 DDoS 攻擊（2022–2024 多起）

  • Threat：攻擊者發動大流量阻斷攻擊。
  • Vulnerability：防護資源不足、缺乏彈性備援。
  • Risk：金流暫停、營運中斷、金管會裁罰。
  • 來源：中央社 CNA

• 高鐵 DDoS 攻擊（2024）

  • Threat：大流量網路攻擊。
  • Vulnerability：部分關鍵服務未納入雲端清洗與 WAF。
  • Risk：售票系統中斷、營運受影響。
  • 來源：自由時報報導

3. IoC / IoA（偵測點）

• Threat（威脅行為）

  • IoA：APT 掃描行為、釣魚郵件激增、異常流量高峰。

• Vulnerability（弱點跡象）

  • IoC：漏洞掃描報告顯示未修補 CVE、弱密碼使用。

• Risk（風險呈現）

  • IoA/IoC：弱點與威脅同時存在於關鍵資產（如 KEV 列表 + 生產系統）。

4. SOC / IR Playbook 切入

1. 偵測

   • 威脅情資揭露新 CVE（Threat）
   • 資產掃描顯示組織存在該 CVE（Vulnerability）

2. 評估

   • 利用 NIST SP 800-30 或 ISO 31000 方法，計算風險等級：

     • Risk = Likelihood × Impact

   • 參考 CVSS（嚴重度）與 EPSS（被利用可能性）評分。

3. 處理

   • 補丁修補或緩解控制。
   • 若 EPSS 高、業務影響大 → 啟動緊急 IR 程序。

4. 通報

   • 涉及個資外洩 → 依《個資保護法》向主管機關通報。
   • 涉及營運中斷 → 依《資通安全管理法》通報資安署。

5. 演練模版

• 桌上推演（Tabletop）

  • 情境：「CISA KEV 新增一筆 CVE」
  • 小組流程：資產掃描 → 風險計算（CVSS × EPSS） → 決策（立即修補/隔離/風險接受）。

• 小組作業

  • 選一個新聞案例（如 SolarWinds 或金融 DDoS），標註 Threat / Vulnerability / Risk，並提出控制措施。

6. 可視化圖表

Threat × Vulnerability × Risk 關係

風險矩陣（可能性 × 衝擊）

7. 綜合比較表（案例 × 三要素 × 控制措施）

8. 延伸閱讀

• NIST SP 800-30：Risk Assessment Guide
  https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final
• ISO/IEC 27005：Information Security Risk Management
  https://www.iso.org/standard/75281.html
• ISO 31000：Risk Management
  https://www.iso.org/standard/65694.html
• CISA：Log4j / Log4Shell Guidance
  https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
• CISA Known Exploited Vulnerabilities (KEV)
  https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• 台灣《資通安全管理法》（2024 修正公布）
  https://law.moj.gov.tw/News/NewsDetail.aspx?msgid=193865
• 台灣《個人資料保護法》
  https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021
• 中央社 CNA（台灣案例報導檢索）
  https://www.cna.com.tw/