弱點掃描報告怎麼看?5 步驟排除誤判與修補,輕鬆應對 ISO 27001 稽核
很多 MIS 或 IT 主管在收到資安廠商提供的弱點掃描報告時,第一反應往往是心頭一緊。翻開厚達數百頁的 PDF,滿滿都是代表極高風險 (High/Critical) 的紅字警示,甚至還點名了那些放在機房角落、早就不敢重開機的老舊系統。
請放心,弱點掃描 (Vulnerability Scanning) 就像是企業的年度健康檢查。紅字只是一個警訊,掃描本身並不會讓系統自動變安全,真正的價值在於拿到報告後的「判讀」、「修補」與「補償性管理」。
拿到弱掃報告後,請依循 ISO 27001 的精神執行以下 5 個務實步驟,而不是盲目地找 Patch:
- 過濾誤判:掃描工具只看表面,務必先排除 Linux 系統常見的 Backporting 誤判。
- 評估風險:不要只看 CVSS 分數,必須結合企業內部的「資產重要性」來排序優先級。
- 擬定對策:確認該漏洞是要直接更新套件,還是只要調整系統參數即可。
- 補償性控制:針對無法更新的陳年舊系統,善用 WAF 等設備進行虛擬修補。
- 複掃驗證:修補完務必重啟服務並進行驗證掃描,確保風險確實收斂。
本文目錄
根據 NIST 網路安全框架,持續性的弱點管理才是防禦勒索軟體與駭客潛伏的根本。以下由 CloudSecurity 顧問團隊為您整理第一線的實戰步驟:
第一步:先別急著修!把「誤判」挑出來
很多工程師一拿到滿江紅的報告,直覺反應就是上網找 Patch,這絕對是大忌。弱點掃描工具再厲害,它終究只是個自動化程式,難免會看走眼。特別是如果您使用的是開源軟體(延伸閱讀:七大免費弱點掃描神器總整理),發生誤判的機率通常會更高。
我們輔導客戶時,最常遇到 Linux 系統 (像是 CentOS 或 Ubuntu) 的套件版本誤判。因為很多掃描工具「只看表面」,它讀取到您的 Apache 是 2.4.6 舊版,就直接亮紅燈說有漏洞。
但它不知道的是,企業級 Linux 其實有 向後移植 (Backporting) 的機制,官方早就把修補程式打進您現在用的舊版本裡了!
解決作法:千萬不要只拿截圖去跟稽核員吵。請直接在伺服器下指令,把系統日誌叫出來當作佐證附件:
rpm -q –changelog httpd | grep CVE-202X-XXXX
第二步:這洞該不該補?做個簡單的風險評估
IT 部門的人力與資源永遠不夠,我們不可能要求團隊在一天內修補完所有的洞。您需要綜合考量,建立一套修補的優先順序。除了參考國際通用的 CVSS 分數,更重要的是結合「這台機器對公司的重要性」:
- 極高風險 (Critical): 這台機器有對外連線,且網路上已經有駭客的攻擊腳本流通了。這沒什麼好說的,請立即排程處理。
- 高風險 (High): 屬於內網的核心資料庫或關鍵營運系統。建議與部門主管協調,在 7 到 14 天的維護視窗內完成。
- 中低風險 (如 SSL/TLS 設定): 這是報告中最常出現湊數的紅字,通常是因為憑證過期或加密協定太舊。其實只要重新檢視您的 SSL 網站信任憑證 設定,確保強制啟用 TLS 1.2 以上版本,就能輕鬆消掉一大半的缺失。
第三步:老舊系統修不了怎麼辦?善用「補償性控制」
確認完優先順序後,就準備進入修補階段。但實務上最常發生的痛點是:遇到「不能修補」的老系統怎麼辦?
很多企業內部都藏著運行十幾年的 ERP 或工控系統,原廠早就倒閉或停止支援,只要一更新套件,產線可能就直接停擺給你看。針對這類動不了的系統,在 ISO 27001 的精神裡,我們強烈建議採取 補償性控制措施 (Compensating Controls),也就是業界常說的「虛擬修補 (Virtual Patching)」。
簡單來說,就是雖然洞還在,但我用別的防護罩把它包起來:
- Web 應用層防護: 如果是網頁層的漏洞,可以在伺服器前面擋一台 Wapples (WAAP) 網站防火牆 或是採用雲端服務的 Cloudbric WAF。它們能在惡意流量碰到伺服器之前就先一步攔截,讓您完全不需要去改動那脆弱的舊程式碼。
- 郵件威脅過濾: 如果弱點是出在郵件伺服器,可以搭配 OSecure 郵件過濾防火牆,直接從網路閘道端阻絕惡意連結與夾檔。
顧問提醒:在填寫 ISO 稽核的缺失改善回覆單時,請務必清楚寫下「因系統相容性考量,已採行 WAF 防護作為補償性控制,並降低風險等級」,這樣才是標準的合規應答。
第四步:更新完別忘了複掃驗證
這是最多工程師會踩坑的地方!「軟體更新完畢」絕對不等於「漏洞修補成功」。很多時候工程師更新完套件,卻忘記重啟服務 (Restart Service),導致帶有漏洞的舊版本依然在記憶體中運作。
請務必要求資安廠商針對已修補的項目執行「複掃」。另外,如果這個系統包含貴公司自行開發的程式碼,光靠傳統的網頁弱掃是不夠的,建議要進一步搭配 SAST 原碼掃描,直接從程式碼的底層邏輯去把漏洞抓出來。
第五步:讓資安成為持續性的管理機制
駭客的手法日新月異,新的漏洞每天都在產生。單靠企業內部有限的 IT 人力,很難隨時追蹤全球龐大的威脅情資。
建議您不要讓企業資安成為孤島。平常可以多關注我們的 資安部落格,或是訂閱相關的技術電子報,確保防禦觀念能跟上最新的威脅趨勢。
常見問題 FAQ:企業客戶最常問的兩件事
客戶常問:做完弱點掃描,還需要花錢做滲透測試 (PT) 嗎?
簡單來說,弱點掃描像是「快速全身 X 光」,它透過工具大範圍掃描已知的弱點,廣度夠但缺乏深度;而 PTS 滲透測試 則是請專業的白帽駭客模擬真實攻擊手法,去挖掘工具找不到的「商業邏輯漏洞」。我們通常建議客戶:先用弱掃補齊基本的衛生習慣,再針對金流或客戶資料庫等核心系統進行滲透測試,這樣預算花在刀口上效益最高。
客戶常問:弱點掃描能順便防禦 DDoS 攻擊嗎?
這兩者防禦的目的完全不同。弱點掃描是為了找出系統裡的漏洞(就像房子哪邊窗戶沒鎖好);而 DDoS 是屬於巨大的流量攻擊(就像一群暴民塞在您家門口讓您出不了門)。如果您擔心網站被大量連線打癱,您需要的是專門的抗 DDoS 機制,您可以參考這篇 新世代 L7 DDoS 攻擊防禦 的深度解析來了解更多細節。