資訊悅報 Vol.27|Vicarius: 每次弱掃一跑完就噴出幾千筆弱點,你怎麼決定先修哪一個?

部落格來源網址:The Complete Guide to Vulnerability Scanning (2025 Edition)

什麼是弱點掃描?(定義與背景)

弱點掃描(Vulnerability Scanning)是指以自動化方式,在企業的網路、系統與應用程式中,盤點資產及其屬性,並找出其中的資安弱點,例如軟體缺陷、設定錯誤、遺漏補丁等。

NIST 將弱點掃描定義為一種用來發掘主機與其相關弱點的技術,常被用來支援更廣義的資安測試與評估作業。

在 NIST 的控制架構裡,弱點掃描屬於 RA-5:Vulnerability Monitoring and Scanning

這項控制特別強調幾件事:

  • 必須先定義清楚掃描的「廣度」與「深度」
  • 在適當情況下使用具權限的(credentialed)帳號進行掃描
  • 長期分析掃描結果,從中觀察風險與趨勢變化

弱點掃描本身只是弱點管理生命週期的一部份:

┃ 資產發現 → 評估 → 優先排序 → 修補 → 驗證 → 報告

掃描工具會從多個公開來源匯入情資,例如:

  • CVE:公開弱點的命名編號系統
  • NVD:由 NIST 維護的資料庫,對 CVE 進一步補充情資並支援自動化

各種標準與評分系統可以把「掃描結果」轉化為「可執行的行動」。

  • CVSS v4.0:提供通用的弱點嚴重度評分框架。
  • NVD:已正式支援 CVSS v4.0。
  • EPSS:則用來估算某個弱點在實際環境中被利用的機率,對優先排序特別有幫助。

為什麼弱點掃描這麼重要?

1. 降低已知攻擊手法帶來的風險
CISA 維護 KEV(Known Exploited Vulnerabilities)已知遭利用弱點清單,並強烈建議各機構持續追蹤與修補這些已被攻擊者實際濫用的弱點。
將掃描與修補計畫與 KEV 對齊,可以有效降低實際遭入侵的風險。

2. 建立持續可視性(Continuous Visibility)
CIS Controls v8.1 提出 Continuous Vulnerability Management 的概念,要求對所有企業資產進行定期且自動化的弱點評估;弱點掃描就是這個「可視性引擎」的核心。

3. 滿足法規與稽核要求
例如:PCI DSS v4.0 要求每季至少一次由 ASV(Approved Scanning Vendor)核可掃描廠商執行外部弱點掃描,且在重大變更後也必須重新掃描,並通過 ASV 的判定標準。

4. 加速補丁管理流程
NIST 的補丁管理指引 SP 800-40(第 4 版)將弱點掃描與補丁管理緊密連結,說明如何透過掃描結果,來協助針對 IT、OT、行動裝置與雲端資產進行補丁優先排序與驗證。

5. 產業趨勢非常明確
攻擊者會快速武器化公開弱點;而能夠「高頻掃描、聰明排程、快速修補」的組織,會大幅縮短曝險期間(Window of Exposure),實際風險也就明顯下降。

弱點掃描怎麼運作:10 步驟拆解

1. 界定範圍與盤點資產(Scope & Inventory)

  • 確認納入掃描範圍的資產:自建機房(on-prem)、雲端、端點(Endpoints)、容器、應用系統、OT/IoT 裝置…
  • 劃分內外網 IP 範圍、子網(Subnets)、與關鍵業務服務
  • 讓覆蓋範圍符合 RA-5 對「廣度/深度」的期待

2. 選擇掃描方式(Select Scanning Approach)
可視需求選用:

  • Network-based:純網路式掃描
  • Agent-based:安裝在端點/伺服器上的代理程式
  • Authenticated(Credentialed):使用帳號密碼或金鑰登入目標主機
  • Unauthenticated:無帳號的外部掃描

其中,具權限(credentialed)的掃描能做更深入的檢查,被 NIST 明確建議用於需要完整覆蓋的情境。

3. 設定安全檢查與排程(Configure Safe Checks & Schedules)

  • 調整掃描效能、頻寬使用與速率限制
  • 配合維護時段設定排程;必要時排除脆弱或關鍵系統
  • 在正式環境啟用「安全模式掃描(safe checks)」避免影響服務

4. 資產發現(Discovery Sweep)

  • 掃描並列出所有存活主機、開啟的 Port、提供的服務、版本以及對外介面
  • 建立精準的資產/服務指紋(Fingerprint)

5. 偵測階段(Detection Phase)

  • 以資產指紋對照 CVE / NVD 等弱點情資
  • 檢查是否缺少補丁、設定過弱、使用過時的通訊協定/加密套件,或常見的錯誤設定

6. 應用程式測試(DAST)
針對 Web 應用與 API:

  • 以動態應用程式安全測試(DAST)方式,對線上系統進行測試
  • 偵測注入攻擊、認證/邏輯瑕疵、設定錯誤等問題
  • 搭配 SDLC 其他階段的 SAST / SCA 做整體 AppSec 防護

7. 評分與優先排序(Scoring & Prioritization)

  • 套用 CVSS v4.0 的嚴重度分數
  • 加上 EPSS 的被利用機率
  • 再疊加 CISA KEV 是否已被實際攻擊
  • 同時考量資產重要性與曝險情境(例如是否對外、是否關鍵系統)

8. 報告與派工(Report & Ticket)

  • 正規化掃描結果,依資產與外掛/Signature 去重(Deduplication)
  • 對應到系統 Owner 或負責團隊
  • 自動建立工單,推送到 IT / DevOps / 相關單位

9. 修補與處置(Remediate)

  • 透過補丁更新或重新設定來修補弱點
  • 在無法立即打補丁時,採取緩解措施或替代控制(Compensating Controls)
  • NIST 的補丁管理指引強調:事前規劃、測試與驗證缺一不可

10. 驗證與趨勢追蹤(Verify & Trend)

  • 重新掃描以確認弱點已關閉
  • 在時間軸上比較變化,追蹤 MTTD/MTTR 與風險下降趨勢
  • 這也是 RA-5 針對持續監控能力的強化要求之一

弱點掃描的類型

依部署位置(By Location)

  • External 外部掃描
    • 對象為 Internet-facing 資產、邊界服務、WAF/CDN 等
    • 適合用於合規(如 PCI ASV)與縮減外部攻擊面
  • Internal 內部掃描
    • 在企業內網環境中,針對伺服器、工作站與橫向移動的重要節點進行掃描
 

《依存取方式(By Access)》

  • Authenticated / Credentialed 掃描(具權限掃描)
    • 使用主機或應用程式帳號進行掃描
    • 能檢視詳細的補丁層級、Registry/設定檔、組態稽核等
    • NIST RA-5 將此視為「特權存取」,用於提升掃描完整度
  • Unauthenticated 掃描(未授權掃描)
    • 限於從網路層面可觀察到的資訊
    • 適合用於快速掃描與外部驗證

依方法(By Method)

  • Network-based
    • 直接掃描子網與服務,不需要安裝 Agent
  • Agent-based
    • 在端點/伺服器部署輕量級 Agent
    • 適合行動裝置、遠端工作設備,以及需蒐集詳細軟體清單的情境

《依目標(By Target)》

  • 作業系統與基礎架構:伺服器、端點、網通設備
  • Web 應用與 API(DAST):偵測 XSS、SQL Injection、認證/Session 問題等
  • 雲端與容器:掃描映像檔、Registry、Kubernetes 節點/工作負載與雲端設定錯誤,常與 CSPM 搭配
  • OT / IoT:多採 Safe-mode,必要時以被動偵測取代主動掃描

效益、挑戰與緩解之道

主要優點

  • 針對所有資產維持持續的弱點可視性(對應 CIS Control 7)
  • 透過將優先排序好的工單交給 IT/DevOps,加快補丁週期(NIST SP 800-40)
  • 滿足 PCI DSS 等標準所要求的外部弱點掃描與合規準備
  • 結合 CVSS v4 + EPSS + KEV 等情報,做到 風險導向的優先順序

常見挑戰與解法

1. 誤報太多,警報疲乏

  • 優先採用具權限(Credentialed)掃描
  • 調整掃描 Policy
  • 結合 Log/其他偵測工具交叉驗證
  • 導入分級處理流程,利用 KEV/EPSS 過濾噪音

2. 覆蓋範圍不足與 Shadow IT

  • 與 CMDB、雲端 API 整合,自動同步資產
  • 導入外部攻擊面管理(EASM)工具
  • 以 RA-5 指標定期檢視覆蓋率

3. 掃描造成系統不穩或服務中斷

  • 使用 Safe Checks 與速率限制
  • 在維護時段進行掃描
  • 排除敏感 OT 設備,改採被動偵測

4. 優先排序無法反映真實風險

同時考量:

  • 嚴重度(CVSS v4)
  • 被利用機率(EPSS)
  • 是否列入 KEV
  • 資產重要性與對外曝險情境

5. 資安與 IT 之間流程斷裂

  • 正式定義雙方 SLA
  • 自動建立工單並指定負責單位
  • 透過重新掃描驗證修補結果
  • 在 PCI 範圍內,確保 Rescan 結果符合規範

弱點掃描與相關作法的差異

1. 弱點掃描 vs. 弱點評估(Scanning vs. Vulnerability Assessment)

  • 掃描:自動收集資料
  • 評估:解讀結果、優先排序並提出修補建議

NIST 800-115 將掃描視為整體測試/評估計畫中的一項技術。

2. 弱點掃描 vs. 穿透測試(Scanning vs. Penetration Testing)

  • 穿透測試:由人員實際嘗試利用弱點,驗證影響與攻擊鏈
  • 弱點掃描:不刻意利用弱點,只負責偵測與列出風險

兩者互補:

  • 弱點掃描:維持日常 cyber hygiene
  • 定期滲透測試:模擬真實攻擊者行為

3. DAST vs. SAST/SCA

  • DAST:執行階段黑箱測試
  • SAST:靜態分析原始碼
  • SCA:盤點第三方元件與開源套件

成熟的 AppSec Pipeline 會在 SDLC 不同階段,同時導入這三種方式。

4. 傳統掃描 vs. Exposure / CTEM 計畫

  • 傳統掃描多聚焦在 CVE 弱點
  • CTEM/Exposure Management 則把範圍擴大到:
    • 設定錯誤(Misconfigurations)
    • 身分與權限問題
    • 外部攻擊面與雲端資源

最佳實踐與建議

1. 把資產盤點當作「控制零號(Control Zero)」

  • 看不到的資產就無法保護
  • 與雲端供應商、Hypervisor、EDR/MDM、網路偵測工具串接
  • 持續更新掃描範圍,並依 RA-5 要求衡量廣度與深度

2. 能做 Credentialed 掃描就不要只做外掃

  • 具權限掃描能提供更準確的補丁/設定資訊
  • 也能降低誤報比率
  • 搭配最小權限帳號與密碼保管(Vault)整合

3. 掃描頻率要「持續」,而不是只做季掃

  • 季度掃描可以滿足某些 PCI 對外部邊界的最低要求
  • 但要真正縮短曝險時間,內外部都應該維持持續或高頻率掃描
  • 這也與 CIS Control 7 的精神一致

4. 用多種訊號一起做優先排序

  • 嚴重度:CVSS v4 Base / Environmental 分數
  • 機率:EPSS
  • 現實驗證:是否列入 CISA KEV
  • 情境:資產重要性、是否對外、是否已有其他防護或補償控制

5. 把掃描結果與補丁管理打通

  • 依據 SP 800-40 的建議來規劃、測試、部署與驗證補丁
  • 每次修補後都要重新掃描確認弱點已關閉

6. 選對掃描頻率與節奏(Right-size Frequency)

  • 外部邊界:至少每季一次(符合 PCI 要求),以及重大變更後重新掃描
  • 內部/端點:依資產重要性與變動頻率,週到月不等;關鍵伺服器或高變動環境可提升到每日或更頻繁
  • CI/CD 與容器:
    • 在映像檔 push 時掃描
    • 定期掃描 Registry
    • 在 Pre-prod 環境用 DAST 測試執行中的服務

7. 兼顧雲端與 OT 環境

  • 在雲端場景可善用 Cloud-native 工具與 API 掃描
  • 針對 OT/關鍵設備,優先考慮被動監控與安全的掃描策略
  • 與內部變更管理政策及相關指引對齊

8. 報表要呈現「真正重要的事」

儀表板與報告應該聚焦在:

  • 弱點暴露的長期趨勢(依嚴重度/風險分佈)
  • 平均修補時間(MTTR)
  • SLA 違約/逾期件數
  • KEV 項目與可串連的攻擊路徑(Exploit Chains)

9. 教育與自動化並行

  • 教育運維團隊安全補丁與變更管理的最佳實務
  • 將工單、簽核與部署盡可能自動化
  • 串接 ITSM 與部署工具,讓「發現 → 修補 → 驗證」變成可重複的流程(可參考 NIST 的補丁管理指引)

10. 善用 Vicarius 的資源

若要在實務上落實「風險導向、以暴露面為核心」的弱點管理流程,可進一步參考 Vicarius 關於:

  • Vulnerability Management
  • Exposure Management / CTEM
  • 風險優先排序與 Remediation-first 流程設計

常見問題

Q1:我們應該多久跑一次弱點掃描?

  • 外部環境:
    • 至少每季一次,並在重大變更後重新掃描,以符合 PCI DSS 要求
  • 內部環境:
    • 建議朝「持續或高頻率」前進(如每週或每月),依資產重要性與變動速度調整
    • 與 CIS Control 7 的持續弱點管理原則一致

Q2:弱點掃描會不會把正式環境掃掛?

  • 現代掃描器多半提供 Safe Checks 與節流機制
  • 對於較脆弱的 OT / IoT 設備,可以改採被動偵測與維護時段掃描
  • 建議做法:
    • 先用低影響的掃描 Profile 試跑
    • 再逐步擴大範圍與深度
  • NIST RA-5 也強調:要清楚定義掃描覆蓋範圍與使用特權存取的時機

Q3:有憑證(Credentialed)與沒憑證的掃描差在哪裡?

  • Credentialed 掃描:
    • 會登入主機/應用程式
    • 取得更完整的補丁狀態、設定與組態資訊
    • 一般誤報率較低,覆蓋度較高
  • Uncredentialed 掃描:
    • 僅依網路上可觀察到的服務與回應來判斷
    • 速度較快,但深度較淺

RA-5 將具權限掃描視為達成完整性的一項重要手段。

Q4:掃描工具怎麼「知道」有哪些弱點?

  • 掃描器會將偵測到的軟體版本與設定,對照 CVE / NVD 資料,以及各家廠商安全公告
  • 透過外掛(Plugins)或 Signature 檢查,判斷是否存在已知弱點

Q5:面對成千上萬筆掃描結果,要怎麼排優先順序?

同時考量多個維度:

  • CVSS v4 嚴重度
  • EPSS 被利用機率
  • CISA KEV 是否已知遭攻擊
  • 資產的重要性與對外曝險情境

這樣可以有效降低噪音,把資源集中在真正高風險的項目上。

結語與後續步驟

弱點掃描是資安治理的基石:

  • 幫你釐清「手上到底有哪些資產」
  • 找出「哪些地方正暴露在攻擊面上」
  • 為後續的補丁管理與加固(Hardening)提供依據

要在 2025 年把弱點掃描發揮真正價值,關鍵在於:

  • 持續性的覆蓋(不是只做季掃或年掃)
  • 風險導向的優先排序(CVSS v4 + EPSS + KEV + 營運情境)
  • 與 補丁/變更管理流程的緊密整合

如果你想把這些做法落實在實務環境中,可以進一步參考 Vicarius 在:

  • 暴露面管理(Exposure Management / CTEM)
  • 風險導向優先排序
  • Remediation-first 弱點管理

歡迎隨時與我們聯繫進一步了解關於暴露管理、風險導向優先排序及 CTEM 的相關內容,「修復優先」策略如何加速問題解決時程。

立即聯絡我們