資安專家安資捷 專攻弱點掃描

　弱點掃描為資安界相當熟悉且普遍的一項技術，但是弱掃結果不是資安的結束，而是開始，如何利用弱掃結果進行自動派案及修補應變，才是資安關鍵所在。

　但是問題在於：一家小企業若只有數十台主機與網路設備，安管人員尚能應付，但對於金融業、高科技跨國企業這些大型或連鎖企業來說，往往多達數百台或數千個主機與網路設備，每一台設備就是一份紙本弱掃報告，如何分案通報相對人員？哪些漏洞該先補強？修補的進度如何？修補之後是否達到成效？因為都是紙本作業，導致很難統計追蹤，而且每年必須定期四次弱掃，還有臨時資安預警通報，這對於資安部門承辦人、主機設備修補人員、簽核主管確實是一大的考驗及壓力。

　去年三月，金管會通過《金融機構辦理電腦系統資訊安全評估辦法》明文規定金融機構必須每年針對內部網路設備、伺服器、終端設備、資安設備（入侵偵測、防火牆）及網站資訊系統進行滲透測試、弱點掃描、安全設定檢視，在在都是檢測與檢視金融機關的資安弱點，凡與客戶有直接接觸的資訊系統，規定每年都需要進行一次資訊安全評估作業。

　上千台主機與設備又必須在短時間內完成修補追蹤，自動化、系統化、流程化以及簽核化的弱點管理就顯得相當重要，資安界的老手安資捷執行長陳勇君表示，一個完善的資安弱點管理程序應該包含著：掃描、評估、通報、處理、追蹤五個程序，並成一個cycle，循環不已，每一個層面都馬虎不得。

　像是弱掃之後該如何自動分案通報誰負責處理？修補的期限如何？處理過程如何簽核記錄？將逾期或已逾期，如何主動提醒主管或負責人達警示效果？魔鬼就躲在細節中。

　陳勇君表示，弱點案件的處理也有其優先順序，應先就弱點的「嚴重性」、「暴露等級」以及「資產價值」來判定「案件等級」，近而決定修補的優先順序，而非單以弱點的「嚴重性」來判斷，這樣的風險降低成效與人力運用成效方能彰顯。

　為使資安主管及承辦人處理弱點迅速有效率，安資捷自行開發一套 VMS資安弱點管理／通報系統，根據我國企業組織文化與法規需求，提供各種資安弱點自動分案通報、弱點分層管理、弱點評估專案管理、弱管處理及簽核流程、弱管統計報告及自動警示追蹤等等功能，使用Web介面自動化，簡單明瞭，易於資安人上手，目前已被國內幾家銀行採用作為＜金融機構辦理電腦系統資訊安全評估辦法＞的適法性遵循與管理成效利器。