作者: 趨勢科技 TrendMicro

當應用程式或企業 IT 基礎架構含有未修補漏洞會如何？以下說明虛擬修補如何協助企業解決漏洞與修補管理的困境。

從去集中化到導入雲端、行動裝置及物聯網 (IoT) 技術，隨著企業網路基礎架構日益複雜，修補管理的工作也更加耗時費事、消耗更多企業資源。

不過，應用程式的修補工作一旦有所延誤或甚至擱置，將為企業帶來莫大風險。2017 年 Equifax 資料外洩事件就是最好的例子，該事件洩漏了數百萬名客戶的個人身分識別資訊，而這起事件追根究柢的原因，就是該機構的某個網站應用程式含有未修補的漏洞。在一切都塵埃落定之後，Equifax 表示該事件造成了高達 4.39 億美元的財務損失，此外還要加上英國資訊委員會 (ICO) 針對該事件所做出的處分：50 萬英鎊 (約 66 萬美元) 的罰鍰。

[趨勢科技年度資安總評：Notable Vulnerabilities Disclosed and Exploited in 2018]

為何漏洞修補會成為企業的一項挑戰？

以下是企業在漏洞修補與修補管理上所面臨的一些挑戰：

• 影響業務永續性。儘管定期安裝修補更新是一項良好的資安實務原則，但許多企業卻覺得修補作業太過冗長，而且會中斷營運、耗費成本，因此選擇將這些工作延後 (或者乾脆捨棄) 以免影響業務。
• 需要修補的漏洞數量過多。這樣的情況對經常升級 IT 基礎架構的企業來說尤其如此，因為他們會有更多漏洞需要修補。根據趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫 (目前有 3,500 多名外部獨立研究人員參加) 所累的資料顯示，從 2017 至 2018 年，該計畫所發現並通報的漏洞數量增加了 34%。
• 掌握度不夠。網路基礎架構越龐大，更新流程就越複雜。再加上如果 IT 基礎架構零散，包含各種不同作業系統或應用程式版本，甚至分散多個不同地理位置，那問題將更麻煩。
• 修補更新過於頻繁。這使得修補管理變得缺乏效率，特別是難以整理出哪些才是最重要、非修補不可的漏洞。
• 老舊及無法修補的系統。有些已經終止支援的系統和應用程式已無法再獲得更新，即使目前仍有一些營運關鍵作業可能會用到這類系統和應用程式。此外，還有一些內嵌式系統的軟體或元件通常也無法修補，例如：銷售櫃台系統 (POS) 終端機、IoT 裝置以及工業控制系統。