Step 01

報告解讀與誤判排除 (Analyze & Filter)

拿到報告的第一件事，絕對不是「全部丟給工程師修補」，而是要先進行「過濾」。弱點掃描工具是自動化的程式，難免會有誤判 (False Positives)。如果您使用的是開源工具（延伸閱讀：七大免費弱點掃描神器總整理），誤判率可能會更高。

Step 02

風險評估與優先排序 (Prioritize)

IT 資源有限，我們不可能在一天內修補完所有漏洞。您需要建立一套弱點修補優先級 (SLA)。建議參考國際通用的 CVSS (通用弱點評分系統) 並結合「資產重要性」：

• 🔴 極高風險 (Critical)： 對外服務 (Web/VPN) 且有已知攻擊程式 (Exploit) 流通。需立即處理。
• 🟠 高風險 (High)： 核心資料庫或關鍵系統。建議 7-14 天內完成。
• 🟡 SSL/TLS 設定弱點： 這是最常見的中風險項目。往往是因為憑證過期或加密協定太舊。建議立即檢視您的 SSL 網站信任憑證 設定，確保僅啟用 TLS 1.2 以上版本。

Step 03

執行修補與緩解 (Remediate & Mitigate)

確認清單後，進入執行階段。除了直接更新軟體 (Patching) 外，您還有更聰明的選擇。

遇到「不能修補」的舊系統怎麼辦？

企業內部常有運行多年的 ERP 或產線系統，因相容性問題無法更新 OS，原廠也停止支援 (EOL)。這時硬要修補可能導致系統崩潰。針對這類「孤兒系統」，我們建議採取 補償性控制措施 (Compensating Controls)，也就是俗稱的「虛擬補丁 (Virtual Patching)」。

🛡️ 推薦防護策略：

• Web 應用層防護： 部署 Wapples (WAAP) 網站防火牆 或雲端版的 Cloudbric WAF。它們能在流量進入伺服器前，智慧識別並攔截針對該漏洞的攻擊特徵，讓您在不更動程式碼的情況下也能安全運作。
• 郵件威脅過濾： 若弱點存在於郵件伺服器，可搭配 OSecure 郵件過濾防火牆 阻擋惡意連結。

注意：在 ISO 稽核回覆單上，請註明「已採行 WAF 防護並降低風險等級」，這才是合規的正確做法。

Step 04

複掃驗證 (Verification)

這是最容易被忽略的一步。「修補完」不代表「修補成功」。工程師可能更新了軟體卻忘了重啟服務 (Restart Service)，導致舊的設定依然在記憶體中執行。

務必執行「複掃」： 請資安廠商針對「已修補項目」進行驗證掃描。除了傳統的弱掃，若您的系統涉及自行開發的程式碼，建議搭配 SAST 原碼掃描，從程式碼底層根除漏洞。

Step 05

持續監控 (Continuous Monitoring)

新的漏洞每天都在產生（例如著名的 Log4j 事件）。單靠企業內部人力難以隨時追蹤全球威脅情資。

專家建議： 不要讓資安成為孤島。建議您可以定期瀏覽我們的 資安部落格 獲取最新消息，或訂閱 TWCERT/CC 的電子報，確保防護網隨時維持在最新狀態。