什麼是漏洞管理？

漏洞管理程序包括確認、評估、處理、管理，以及報告漏洞。漏洞管理是組織網路安全計畫至關重要的組成部分，需要持續進行監控與改善，以便更好地防範新出現的安全問題。阻止採用基於風險的漏洞管理，能夠更積極主動、精準有效、有目的地保障其雲端基礎結構的安全性。 

藉助高效的漏洞管理策略，組織可及時監控、確認現有及新出現的威脅並做出回應。高效的策略讓組織能夠深入了解其威脅緩解與事件回應計畫，從而減少營運中斷。為了保障利害關係人的利益、幫助滿足監管要求，以及建立對組織聲譽的信任，此漏洞管理方法非常關鍵。

然而，要管理雲端安全漏洞，需要採用與傳統漏洞管理不同的方法。相較於傳統的內部部署架構，現代雲端環境更為複雜，因而需要採用各種不同的方法來應對漏洞。 

AWS 提供各種受管服務與工具，可助您改善雲端安全性，例如：

• 藉助 AWS Identity and Access Management (IAM) 針對存取 AWS 服務的使用者與工作負載的存取控制進行規管。
• 藉由選擇在何處部署您的工作負載，來保障資料主權。舉例來說，AWS Dedicated Local Zones 允許您在您選擇的位置進行部署，藉此來滿足資料落地要求。
• 利用 AWS Web Application Firewall (WAF) 來監控、封鎖及規避與所部署的 Web 應用程式關聯的安全風險。

您還可藉助 AWS Cloud Security 服務來改善安全、管理風險，以及協助遵守共同責任模型。漏洞管理是共同責任模型的組成部分。

在保障工作負載免遭漏洞攻擊時，憑藉整個組織的可視性，可及時偵測事件、回應，並讓安全規劃更輕鬆簡單。藉助 AWS Security Hub 等解決方案，提供了組織與安全狀況的統一檢視，從而讓您能夠在雲端大規模地協調、設定優先級，以及對安全威脅做出回應。Security Hub 可讓您在 AWS 上設定風險優先級，關聯威脅訊號，以及持續監控受保護的資產，藉此來為基於風險的漏洞管理提供支援。

要管理安全性，首先需要進行架構規劃，即便在雲端已部署工作負載之後也需要繼續此工作。下面列出了可助您建立漏洞管理計畫的步驟。

1.制定漏洞管理計畫

漏洞管理計畫概述規避不明及已知漏洞的目標、適用範圍與責任。安全團隊、員工及其他利害關係人在解決漏洞時，漏洞管理計畫可協助其以可預測的方式來執行操作。

如需制定漏洞管理計畫，需要考慮以下各項：

• 依據嚴重程度對漏洞分類的方法
• 用於監控資產、偵測威脅，以及回應事件的漏洞管理工具
• 針對不同風險類別，安全團隊必須遵守的目標解決時間
• 提供安全洞察、未解決的問題，以及合規狀態的報告要求
• 促進組織內部問責與責任感的治理工作流程

2.實作漏洞掃描

透過漏洞掃描，有助於安全團隊確認數位資產中已知且新出現的安全漏洞。漏洞掃描程式可對應用程式、網路與基礎結構進行分析，以便查找威脅執行者可利用的漏洞。

在各種數位資產中可自動執行的漏洞掃描，其中包括：

• 應用程式
• 網路組態
• 雲端基礎結構
• 伺服器與電腦系統
• 端點裝置

舉例來說，在 AWS 雲端，Amazon Inspector 可自動掃描運算執行個體、程式碼儲存庫、容器映像，以及其他工作負載類型是否存在漏洞。您可藉助 Amazon Inspector、AWS Systems Manager 與 AWS Security Hub，協助確認公開披露的漏洞及做出回應。

3.建立基於風險的漏洞管理程序

接著可建立工作流程，以便確認發現的漏洞、設定優先級並進行修補。另外，管理漏洞時，需要考慮營運環境、可能的影響，以及受影響的工作負載。由於漏洞嚴重程度各異，進而可能對不同規模的企業與營運結果造成影響，因此該分級步驟非常實用。

如需執行風險評估，您可藉助常見漏洞評分系統 (CVSS) 之類的標準評分系統，做為評估風險因素的指南。藉助標準化架構，您能夠以最佳方式配置資源，同時依據目標解決方案時間表開展工作，以便規避已發現的風險。舉例來說，雖然將使用者驗證模組中的漏洞歸類為低風險，但仍應立即上報，以阻止未經授權的存取。

4.設定修補程式管理

如需管理組織威脅暴露面的安全風險，修補程式管理非常關鍵。修補程式管理工具可自動下載廠商的安全修補程式與軟體更新，然後將這些更新套用至已部署的軟體。自動執行操作時，修補程式管理軟體能夠修復已知漏洞與潛在漏洞，從而堵住安全漏洞，避免其造成更大風險。

舉例來說，您可在 AWS 上藉助 AWS Systems Manager Patch Manager 來自動執行修補程式管理。修補程式管理器可套用安全修補程式至 Amazon Elastic Compute Cloud (EC2) 執行個體、邊緣裝置、內部部署裝置，以及虛擬機器。您可設定修補政策，以便依據區域、核准指導方針，以及排程時間來套用安全修補程式。

請注意：請先考慮在少量裝置推出修補程式，再套用至整個組織。使用此方法，您可以確認修補程式穩定運作，不會對營運造成不良影響。

5.設定惡意軟體防護

惡意程式或惡意軟體，可能會在未受監控的環境感染裝置。若要阻止惡意軟體感染，可安裝 AWS GuardDuty 等惡意軟體防護工具。

AWS GuardDuty 採用人工智慧與機器學習技術，讓您能夠分析、偵測及上報惡意軟體調查結果，包括木馬、蠕蟲、加密貨幣挖礦程式、rootkit 或殭屍程式。另外，您可將所有偵測引導至 AWS Security Hub，有助於開展修補工作。

6.在 CI/CD 管道中整合漏洞掃描

在開發期間，由於編碼錯誤、安全檢查不足，以及使用不安全的第三方元件，可能會將漏洞引入應用程式。如果未偵測到安全漏洞，則會滲入生產環境，導致更昂貴的補救工作。為了避免此類複雜情況，應將安全性左移，在軟體開發生命週期的早期階段，使用 AWS CodeGuru 等工具掃描程式碼漏洞。

AWS CodeGuru 是一款靜態應用程式安全測試工具 (SAST)，可協助軟體團隊更高效地確認及修補漏洞。您可輕鬆地將 CodeGuru 整合至您的 CI/CD 工作流程，以便藉助採用機器學習技術的自動推理，來自動偵測安全漏洞。

7.設定安全監控服務

安全團隊需要對組織的基礎結構、網路與工作負載有全面的了解，以便高效應對威脅與事件。最佳實務並非是手動執行掃描及上報安全調查結果，而是利用 AWS Security Hub 等統一的安全監控服務，來精簡雲端安全工作流程。

您可部署 AWS Security Hub，依據標準化安全框架來執行自動化檢查，藉此來協助改善雲端復原能力。AWS Security Hub 整合其他各項 AWS 服務，可加速威脅確認、遏制與回應。您可利用 AWS Security Hub，快速了解漏洞管理措施，以及縮短漏洞偵測與修補間的時間。

8.實作 Web 應用程式滲透測試

透過滲透測試，您可以主動確認安全漏洞，以及評估其對組織的影響。在 Web 應用程式滲透測試中，網路安全專家會有意執行針對性嘗試，以便針對部署的 Web 應用程式評估其現有的安全措施。他們隨後會記錄結果，確定最關鍵漏洞的優先級，然後採取緩解措施。

請注意：若要在 AWS 上建置、測試，以及部署應用程式，您可針對許可的服務執行滲透測試，以便驗證及改善 Web 應用程式的整體安全性。

9.藉助基礎結構即程式碼來實現自動化

藉助基礎結構即程式碼 (IaC) 服務，可更輕鬆地管理複雜的雲端環境安全性。若手動佈建雲端資源，會增加雲端組態錯誤風險，進而影響基礎結構的安全性。

與其手動設定雲端基礎結構，不如藉助 IaC 工具 (例如 AWS CloudFormation) 來自動分配運算資源、進行服務組態設定，以及執行其他雲端管理任務。藉助 CloudFormation，您能夠以可控的方式來持續一致地擴展 AWS 工作負載，同時還可降低設定錯誤的風險。 

高效的漏洞管理解決方案要求持續的監控與改善，以便規避新出現的風險。安全團隊在威脅智慧的基礎上，優化其安全方法，以便應對威脅環境。

藉助 Amazon GuardDuty 等威脅識別工具，您可以快速確認、分析，以及回應跨 AWS 帳戶、工作負載與資料的威脅。Amazon GuardDuty 針對工作負載可提供端對端可視性，讓您能夠擴展安全工作，而無需手動干預。

另外，必須透過持續性報告，告知主要利害關係人安全評估、事件與補救狀態等相關資訊。及時的報告讓組織能夠做出明智的決策，以及阻止威脅升級。 

為支援組織在雲端安全地進行創新所做出的努力，漏洞管理必不可少。藉助全方位的漏洞管理系統，可防止網路威脅導致的營運中斷、財務損失，以及聲譽損害。在 AWS，進行漏洞管理首先要了解共同責任模型，這構成了分層安全措施的基礎。

在此處進一步探索藉助 AWS 上的雲端安全、身分及合規來改善漏洞管理的方法。