管理漏洞是甚麼?

📌 家裡找出所有破損的窗戶（漏洞）、記錄在哪扇窗

評估哪扇最容易被小偷翻入（可被利用性）

這扇窗裡藏的是不是貴重物品（資產價值）

安排修理的優先順序

補丁管理則是把「修理窗戶」這件事做成制度：誰修、何時修、怎麼驗收、修不好怎麼回滾

攻擊方

• 偵測公開服務的已知 CVE，搜索能即刻利用的 exploit（public exploit / exploit kit）
• 先從低垂果實做起：找高 CVSS、暴露在 Internet 且沒打補丁的伺服器
• 合併社工或側錄（credential reuse）與漏洞來取得更高權限或橫向移動
• 若持續滲透，攻擊者會嘗試維持持久性（backdoor）並清除修補痕跡

防禦方

1. 盤點：知道有哪些主機、應用、版本與負責人
2. 漏洞掃描：定期用掃描器（Nessus/Qualys/OpenVAS/Modern SCA）掃整個資產，收集漏洞清單與證據
3. 評估：用 CVSS、Exploit maturity、Internet exposure、補強難度做風險評分與優先度
4. 優先化：決定哪些漏洞先補（例如：公開網路、RCE、高資產價值→先補）
5. 補救：套補丁、設定緩解（如關閉服務、WAF 規則、網路隔離）
6. 驗證：重新掃描或手動測試確認漏洞已關閉
7. 追蹤與報告：計算平均修補時間、合規率，定期回報管理層
8. 流程改進：把常見失敗原因（依賴、回歸風險）記錄成免責或緩衝 SOP

優先順序

優先度可以用 (CVSS 總分) × (資產重要性係數) × (可被利用係數) 做簡單排序

• CVSS: 0–10（數值越高風險越大）
• 資產重要性: 1 (低) / 2 (中) / 3 (高)
• 可被利用係數: 1 (no public exploit) / 2 (PoC) / 3 (public exploit or exploit in-the-wild)

漏洞 CVSS=9.8，資產重要性=3，可被利用係數=3

風險分數 = 9.8×3×3 = 88.2 → 優先補救（Critical）

常用工具

• 掃描器：Tenable Nessus、Qualys、Rapid7 Nexpose/InsightVM、OpenVAS
• SCA（Software Composition Analysis）：Snyk、Dependabot、OSS Index（用於第三方套件漏洞）
• 補丁管理：WSUS、SCCM、Ivanti、ManageEngine Patch Manager、Chef/Puppet/Ansible（自動化部署）
• 漏洞追蹤/票務：Jira、ServiceNow、DefectDojo（整合測試結果）
• 情報來源：NVD（CVE）、Exploit-DB、Vendor Advisories、Threat Intel Feeds

修補流程

1. 發現：自動掃描器報告伺服器 A 有 CVE-XXXX-YYYY (RCE) 且公開 PoC
2. 確認：手動驗證 PoC（在隔離環境）或檢查服務版本
3. 分級：標記為 P0，通知系統擁有者
4. 立即緩解：若無立即補丁，關閉該服務、在 WAF 加入規則、network ACL 阻擋特定來源
5. 補丁排程：若有 vendor patch，安排離峰部署；若需熱修，先測試回歸測試
6. 部署：使用自動化工具套用 patch 並執行預設回歸測試
7. 驗證：重新掃描確認漏洞消失，或採用手動測試
8. 紀錄：在漏洞追蹤系統填寫補救紀錄、時間戳、補丁版本與驗證證據
9. 回顧：匯報 KPI（MTTR、合規率），若發現流程瓶頸，改善 SOP

衡量指標

• 平均修補時間 MTTR (Mean Time To Remediate)：漏洞從發現到修復的平均時間（以天或小時計）
• 補丁合規率（Patch Compliance）：在 SLA 內修復/打補的資產比例（%）
• 高/中/低 漏洞剩餘數量：趨勢圖（週/月）
• 再曝露率（Re-exposure Rate）：已修復漏洞在 X 日後再次出現的比率
• 偵測到修補的時間（Time-to-Detect → Time-to-Fix）：偵測延遲與修補延遲的分別

結論

📌 有效流程不是只有掃描就好

要把資產脈絡（asset context）、可被利用性（exploit maturity）

與業務重要性結合成優先化機制

配合可驗證的補丁部署 SOP、緩解措施與回滾計畫

量化 KPI（如 MTTR、補丁合規率）能幫管理層看見投入回報

自動化工具（Ansible、SCCM）則能在規模化環境中大幅降低人為錯誤