當應用程式或企業 IT 基礎架構含有未修補漏洞會如何?以下說明虛擬修補如何協助企業解決漏洞與修補管理的困境。
檢視圖文解說:虛擬修補如何協助企業確保安全
從去集中化到導入雲端、行動裝置及物聯網 (IoT) 技術,隨著企業網路基礎架構日益複雜,修補管理的工作也更加耗時費事、消耗更多企業資源。
不過,應用程式的修補工作一旦有所延誤或甚至擱置,將為企業帶來莫大風險。2017 年 Equifax 資料外洩事件就是最好的例子,該事件洩漏了數百萬名客戶的個人身分識別資訊,而這起事件追根究柢的原因,就是該機構的某個網站應用程式含有未修補的漏洞。在一切都塵埃落定之後,Equifax 表示該事件造成了高達 4.39 億美元的財務損失,此外還要加上英國資訊委員會 (ICO) 針對該事件所做出的處分:50 萬英鎊 (約 66 萬美元) 的罰鍰。
[趨勢科技年度資安總評:Notable Vulnerabilities Disclosed and Exploited in 2018]
為何漏洞修補會成為企業的一項挑戰?
以下是企業在漏洞修補與修補管理上所面臨的一些挑戰:
- 影響業務永續性。儘管定期安裝修補更新是一項良好的資安實務原則,但許多企業卻覺得修補作業太過冗長,而且會中斷營運、耗費成本,因此選擇將這些工作延後 (或者乾脆捨棄) 以免影響業務。
- 需要修補的漏洞數量過多。這樣的情況對經常升級 IT 基礎架構的企業來說尤其如此,因為他們會有更多漏洞需要修補。根據趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫 (目前有 3,500 多名外部獨立研究人員參加) 所累的資料顯示,從 2017 至 2018 年,該計畫所發現並通報的漏洞數量增加了 34%。
- 掌握度不夠。網路基礎架構越龐大,更新流程就越複雜。再加上如果 IT 基礎架構零散,包含各種不同作業系統或應用程式版本,甚至分散多個不同地理位置,那問題將更麻煩。
- 修補更新過於頻繁。這使得修補管理變得缺乏效率,特別是難以整理出哪些才是最重要、非修補不可的漏洞。
- 老舊及無法修補的系統。有些已經終止支援的系統和應用程式已無法再獲得更新,即使目前仍有一些營運關鍵作業可能會用到這類系統和應用程式。此外,還有一些內嵌式系統的軟體或元件通常也無法修補,例如:銷售櫃台系統 (POS) 終端機、IoT 裝置以及工業控制系統。
