在 ISO 27001 輔導的過程中,我們經常聽到一個令人糾結、甚至帶點無奈的問題:
「弱點掃描一定要做嗎?如果掃出來的弱點,因為系統太舊、廠商不支援,或是修了會影響營運,根本不能改,那掃描還有什麼意義?是不是就不用掃了?」
這種聲音反映了許多 IT 人的真實困境:我們不是不想修,是「不敢動」或「動不了」。 但如果不掃,這就是一種危險的「鴕鳥心態」。
這是一種危險的「鴕鳥心態」
還記得 2017 年席捲全球的 WannaCry 勒索軟體嗎?癱瘓了數十萬台電腦,造成醫院停擺、工廠停工。WannaCry 利用的並非什麼零時差(0-day)漏洞,而是一個微軟早已釋出修補程式的已知漏洞 。
那些受害最慘重的組織,很多都是因為「系統太舊 (Windows XP/7)」、「怕更新會導致產線不相容」而選擇了「不處理」。組織選擇了「不看」,但駭客選擇了「猛打」。
事實上 ISO 27002: 2022 章節 8.8「技術弱點管理」(Management of technical vulnerabilities) 早已預見了這種情況,並提供了一套完整的管理框架。它的目的從來不是「修復所有弱點」,而是「防止技術弱點遭利用」。
駭客從不等人,但他們專找「已知」的漏洞
還記得 2017 年席捲全球的 WannaCry 勒索軟體嗎?它癱瘓了醫院停擺、工廠停工。最讓人心驚的是,WannaCry 利用的並非什麼零時差 (0-day) 漏洞,而是一個微軟早已釋出修補程式的「已知漏洞」。
當時那些受害最慘重的組織,理由聽起來都很合理:「系統太舊(Windows XP/7)」、「怕更新會導致產線不相容」。組織選擇了「不看」,但駭客選擇了「猛打」。
ISO 27002: 2022 章節 8.8「技術弱點管理」早已預見了這種實務上的困難。它的核心目的從來不是強迫你「修復所有弱點」,而是「防止技術弱點遭利用」。
管理三部曲:當「不能改」成為事實,管理才真正開始
「技術弱點管理」是一個持續的框架,我們將其拆解為三大階段,協助您將「未知」變為「已知且可控」:
【一】識別 (Identify):把門窗看清楚,才能談防盜
這不只是按下一顆「掃描」鈕。根據 ISO 5.9 (資訊與資產清冊),您必須先建立準確的資產清單。如果連家裡有哪些門窗都不清楚,該如何談防禦?
- 主動測試: 定期執行弱點掃描或滲透測試。
- 收集情資 (5.7): 監控 CVE、NVD、TWCERT/CC。WannaCry 的啟示是:微軟早在爆發前兩個月就發布了公告。若能提早識別,就能在災難發生前爭取處理時間。
- 供應商管理 (5.19-5.21): 透過合約要求廠商主動通報弱點,這是在替未來的自己省麻煩。
【二】評估 (Assess):決定「誰的傷勢最重」
掃描報告可能有誤報。您需要分析並驗證弱點的真實性,根據 CVSS 評分與核心業務衝擊排定優先級。評估的重點,是為了讓您將有限的資源,花在最關鍵的刀口上。
【三】處理 (Treat):解答「不能改怎麼辦」的核心
這是最常被誤解的地方:「處理」不等於「打補丁」。 如果您遇到「不敢」或「不能」安裝修補程式的情況,請參考以下緩解措施:
1. 關閉非必要的服務: 如果漏洞出在沒人用的功能,直接「關掉它」。
- 案例:WannaCry 漏洞發生在 SMBv1 協定,最有效的應對就是直接停用該服務。
2. 在外部加層盔甲: 既然主機脆弱,就嚴格限制存取 IP。
- 案例:WannaCry 透過 Port 445 擴散,在防火牆上阻擋該連線就能有效止損。
3. 其他緩解方案:
- 部署 WAF 或 IPS 阻擋攻擊手法。
- 加強監控 (控制項 8.16): 在防線薄弱處「加裝監視器」,一旦有異常存取立即介入。
- 尋求供應商建議: 修改設定檔或登錄檔,通常也是一種有效的應急措施。
- 提高意識: 讓使用者知道風險所在,避免高風險操作。
結論:看見弱點,是為了拿回主動權
回到最初的問題:「掃出來不能改,是不是就不用掃了?」
答案是:絕對不是。
不掃描,您只是選擇了「不想知道」,但風險不會因為您閉上眼就消失。相反地,它會在那裡等待最壞的時機爆發。
在資安的世界裡,未知的風險才是最大的破口。掃描是為了啟動管理流程;不能修補,不代表「沒事做」。唯有透過緩解措施並正式記錄決策,您才能在面對稽核或突發狀況時,坦然地說:「這個風險,在我的掌控之中。」
相關文章
相關文章
前往了解更多我們的輔導項目
品質管理
社會責任
環境保護
車用標準
永續ESG
資訊安全
食品安全
供應鏈安全與反恐
服務驗證與神秘客
實驗室與技術認證
企業管理與經營優化