在當今的數位化與雲端環境中,企業 IT 與資安團隊每天面臨最大的挑戰,莫過於無止境的漏洞修補地獄。每天都有新的系統弱點被揭露,即使疲於奔命,修補的進度卻似乎永遠趕不上駭客發現新破綻的速度。
當資安掃描報告出爐,畫面上密密麻麻的警報總會伴隨著「CVE」與「CVSS 分數」。但你了解 CVE 是什麼嗎?如果只要看到高分的漏洞就要求立刻停機修補,不僅會嚴重影響企業營運,更會讓 IT 部門無所適從。
本篇 HiYun 嗨雲將帶你一次了解 CVE 是什麼、CVSS 分數怎麼看,以及如何正確評估漏洞風險,幫助企業建立更有效率的弱點管理概念。
CVE 是什麼?
CVE(Common Vulnerabilities and Exposures)可以理解為資安漏洞的身份證字號。每當全球發現一個新的資安漏洞,就會被分配一個唯一的 CVE 編號,用來識別這個漏洞。
而且資安公告提到某個漏洞時,通常都會看到像 CVE-2024-12345 這樣的編號。那麼,CVE 是什麼呢?
範例:CVE-2024-3094,這個編號代表一個已公開的漏洞,其中:
- CVE:漏洞專屬標籤,明確標示這是一筆被官方記錄的資安漏洞。
- 2024(年份):分配 CVE 編號的年份
- 3094(編號):該年度漏洞的序號
透過這種統一命名方式,資安研究人員、企業 IT 團隊與各家資安廠商在討論 CVE 漏洞時,就能確保大家指的是同一個問題,不會出現名稱混亂的情況。
所以 CVE 的存在是為了建立全球統一的漏洞識別標準。當某個漏洞被公開後,各種安全公告、修補程式與防護建議都會以該 CVE 編號為基準,讓漏洞資訊能在全球快速共享與追蹤。
CVSS、CWE 與 CVE 是什麼?
CVSS、CWE 與 CVE 是評估資安風險時最核心的三大指標:CVE 是漏洞的具體編號、CWE 是漏洞的種類,而 CVSS 則是漏洞的嚴重程度分數。
很多人第一次接觸這三個名詞時會感到混亂,HiYun 嗨雲用一個簡單的表格來解釋它們之間的關係,讓你們更清楚的了解!
| 名稱 | 全名 | 作用 | 簡單理解 |
|---|---|---|---|
| CVE | Common Vulnerabilities and Exposures | 給每一個公開漏洞一個唯一編號 | 漏洞的身分證字號 |
| CWE | Common Weakness Enumeration | 定義漏洞的類型或弱點種類 | 漏洞屬於哪一種安全問題 |
| CVSS | Common Vulnerability Scoring System | 評估漏洞的嚴重程度 | 漏洞的風險分數 |
舉例來說,一個系統可能出現 SQL Injection 漏洞:
- CVE:記錄這個具體漏洞的編號
- CWE:分類為輸入驗證錯誤類型
- CVSS 分數:評估漏洞影響程度(例如 8.8 分)
透過這樣的分類方式,企業在面對大量資安漏洞時,可以更清楚地理解漏洞的類型與風險,並決定修補優先順序。
CVE 漏洞查詢
當你知道 CVE 是什麼之後,下一個問題通常是:「該去哪裡查這些 CVE 漏洞?」 這裡整理業界最常依賴的三大平台。分別是:NVD (提供詳細評分)、MITRE (官方編號源頭),以及 VulDB (第三方情資庫)。 企業在進行漏洞管理時,通常會依賴以下資料庫進行查詢與分析:
NVD (National Vulnerability Database)
NVD 是由美國政府維護的官方漏洞資料庫,也是最常被企業使用的來源之一,因此想了解一個漏洞有多嚴重,NVD 會是最重要的參考來源。
- 提供完整的 CVSS 分數
- 包含漏洞影響範圍與技術細節
- 可查詢修補建議與相關資安資訊
MITRE CVE Database
MITRE 是負責維護 CVE 編號的核心組織,這個資料庫主要提供:
- 官方的 CVE 編號資訊
- 漏洞的基本描述
- 漏洞發布與更新紀錄 但要注意的是,MITRE 通常不提供詳細的 CVSS 評分,而是偏向漏洞登記與辨識。
VulDB / Vulners
這類平台屬於第三方漏洞資料庫,通常會整合多個來源,提供更進階的查詢功能,適合需要進一步分析漏洞風險的資安團隊使用。
- 漏洞利用情況(是否已被攻擊)
- Exploit 資訊
- 威脅情資整合
CVSS 是什麼?帶你認識 CVSS 評分系統
CVSS (Common Vulnerability Scoring System,通用漏洞評分系統) 是一套將資安漏洞嚴重程度量化為 0~10 分的標準機制。分數越高,代表破壞力與風險越大。
當你查詢 CVE 漏洞時,通常都會看到這個重要數值。一般來說,CVSS 分數會分為以下等級:
| CVSS 分數 | 嚴重程度 |
|---|---|
| 0.1 – 3.9 | 低(Low) |
| 4.0 – 6.9 | 中(Medium) |
| 7.0 – 8.9 | 高(High) |
| 9.0 – 10 | 嚴重(Critical) |
如果一個 CVSS 分數為 9.8 的漏洞,通常代表攻擊門檻低、影響範圍廣,且可能造成系統重大風險,因此會被列為優先修補的對象。
💡 嗨雲再次提醒:CVSS 並不是漏洞資料庫,而是一套評分機制。它的作用是幫助企業快速判斷漏洞的嚴重性,而不是描述漏洞本身的細節。
現代弱點管理的新標準: EPSS 與 CISA KEV
現代企業評估漏洞風險的最新標準,是結合「EPSS(漏洞利用預測評分系統)」與「CISA KEV(已知遭利用漏洞目錄)」兩大指標,來決定真實的修補優先順序。
因為單看 CVSS 分數是不切實際的,那雲端託管團隊究竟該如何決定修補順序?答案就是引進這兩個當今最受重視的實務指標:
EPSS(漏洞利用預測評分系統)
如果說 CVSS 評估的是破壞力,那麼 EPSS 就是天氣預報的存在。它透過大數據與機器學習,分析全球的威脅情資,預測某個 CVE 漏洞在未來 30 天內,被駭客真實利用的機率,以 0% 到 100% 表示。
- 如何應用: 就算一個漏洞的 CVSS 高達 9.8 分,但如果它的 EPSS 預測機率只有 1%,代表駭客實際上很難利用它,或者根本懶得寫攻擊程式。這時,你就可以安心把它往後排,先去處理那些 EPSS 機率極高的致命漏洞。
CISA KEV(已知遭利用漏洞目錄)
由美國網路安全與基礎設施安全局 (CISA) 所維護的 CISA KEV 目錄,堪稱資安界的通緝犯名單。只要某個 CVE 編號被列入這個清單,就代表這個漏洞已經在真實世界中被駭客實際濫用。
- 如何應用: 只要掃描出來的漏洞名列 CISA KEV,請立刻放下手邊工作!這沒有任何機率問題,代表駭客的攻擊武器已經準備好,隨時會對你的雲端主機攻擊。
CVE 漏洞優先修補級別建議
🚨 最高優先級(立即修補): 已列 CISA KEV ➔ 無論 CVSS 幾分,代表已經有實際災情,必須立刻處理! 🔴 高優先級(盡快排程): 高 CVSS 分數 + 高 EPSS 機率 ➔ 破壞力強且駭客極可能發動攻擊,盡快於本週內修補。 ⚪ 一般優先級(例行維護): 高 CVSS 分數 + 極低 EPSS + 未上榜 KEV ➔ 雷聲大雨點小,排入每月的例行性更新即可。
建立企業雲端的 CVE 漏洞修復策略
策略必須涵蓋雲端資產盤點、WAF 虛擬修補以及自動化與雲端託管服務三大關鍵步驟。因為發現 CVE 漏洞只是第一步,如何在不中斷企業營運的前提下完成修補,才是最大挑戰。特別是在雲端環境中,我們建議企業可以根據以下步驟來建立高效的弱點管理策略:
雲端資產盤點
許多企業在上雲後,搞不清楚自己開了多少台虛擬機、使用了哪些版本的作業系統與開源軟體。一旦爆發重大的 CVE 資安危機,連自己有沒有中標都查不出來。因此,第一步必須透過自動化工具,建立完整的雲端資產清單與軟體物料清單(SBOM),確保每一個端點都在監控範圍內。
雲端 WAF 進行虛擬修補
這是雲端環境獨有的巨大優勢!當一個核彈級漏洞爆發時,企業可能因為線上正在舉辦促銷活動,或者系統過於老舊而無法立刻停機更新。這時透過專業雲端代理商協助導入的 WAF(網頁應用程式防火牆),可以直接在雲端的最外層阻擋針對該 CVE 的惡意流量。
這稱為虛擬修補,它能在不動到伺服器底層程式碼的情況下,瞬間幫系統穿上防彈衣,為團隊爭取充裕的修補與測試時間。
💡延伸閱讀:WAF|為您阻擋惡意流量,抵禦各類網路攻擊
自動化修補與雲端託管服務
雲端環境的變動速度極快,單靠人工手動上修補不切實際的。企業可考慮導入自動化修補管理工具,或者直接委託專業的雲端託管服務。專業的顧問團隊不僅能幫你監控最新的漏洞情資,還能在共同責任模型下,協助你完成那些雲端原廠不負責的作業系統與應用程式更新!
掌握漏洞風險,打造更完善的資安防護!
面對持續增加的 CVE 漏洞與資安威脅,你是否已建立完善的漏洞管理與風險評估機制?HiYun 嗨雲提供專業的企業資安與雲端服務,協助你有效掌握漏洞風險,並提升整體防護能力。立即與 HiYun 嗨雲聯繫,讓我們協助你建立更安全、穩定的系統環境!
若你需要更全面的資安防護,我們也提供客製化的資安解決方案,從風險評估到防護架構規劃,依據企業需求量身打造,為你的資訊安全層層把關!
