近年來,隨著企業數位化程度提高,資訊設備與系統數量持續增加,資訊安全的重要性也逐年受到重視。
在實務環境中,常會面臨以下情境:
• 公司內部同時存在多台資訊設備與伺服器
• 各系統版本更新狀況不一,難以即時掌握
• 部分設備仍使用過時或停止支援的版本
當設備版本未能有效控管時,已知弱點便可能持續累積,進而提高整體資安風險,甚至成為駭客入侵的入口。
基於上述背景,實務上常導入 資通安全弱點通報系統(Vulnerability Analysis and Notice System, VANS)。
VANS 是一種結合資訊資產管理與弱點管理的系統,主要目的在於:
• 彙整公開已知的 CVE 弱點資訊
• 將弱點對應至組織內部的實際資訊資產
• 協助管理人員快速辨識需優先處理的風險項目
從管理角度來看,VANS 不僅是技術工具,也是一項資安治理與風險管理的輔助機制。
目前市面上已有多家廠商提供 VANS 相關產品,但在實務導入上,常會遇到以下問題:
• 各家廠商產出的弱點報表格式不一致
• 產品名稱與版本標示方式不同
• 不利於跨系統整合或向管理階層說明
因此,為了提升弱點資訊的一致性與可讀性,實務上逐漸採用 CPE(Common Platform Enumeration) 作為標準化命名方式。
透過 CPE,可以用統一且結構化的方式描述軟體、硬體與作業系統,讓弱點資訊更容易被理解與管理。
CPE 2.3 是目前主流的 CPE 版本,主要用於:
• 識別資訊資產(軟體/硬體/作業系統)
• 作為 CVE 與弱點管理系統的對應依據
• 支援資訊資產盤點與資安稽核作業
CPE 2.3 一共包含 13 個欄位,並以 冒號(:) 作為分隔:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
CPE 2.3 各欄位重點說明
part:產品類型
a:應用程式(Application)
o:作業系統(Operating System)
h:硬體(Hardware)
vendor:廠商名稱
例如:microsoft、apache
product:產品名稱
例如:windows_10、http_server
version:版本號
例如:22H2、2.4.58
update:更新版本
例如:sp1、patch1
edition:版本型態
例如:enterprise、pro
language:語言
例如:en、zh
sw_edition:軟體版本細分
例如:server
target_sw:目標作業系統
例如:windows、linux
target_hw:硬體平台
例如:x64、arm
other:其他補充資訊
例如:custom
從資安管理或顧問角度來看,VANS 搭配 CPE 標準格式有助於:
將技術性弱點資訊轉換為可管理的風險項目
提升跨部門溝通與對管理階層說明的效率
作為資安治理、內稽內控與法規遵循的基礎資料
這也是許多組織在推動 ISMS 或相關資安制度時,會重視弱點管理與資產識別一致性的原因。
本篇內容主要為個人在學習 VANS 與 CPE 標準過程中的筆記整理,目前理解仍以概念與架構層面為主。
透過 VANS 系統與 CPE 2.3 標準格式,可以更有系統地掌握資訊資產與弱點狀況,並為後續的資安治理與風險管理奠定基礎。
至於 SBOM(Software Bill of Materials) 在資訊資產管理中的角色,將留待後續再進一步整理與分享。
留言
張貼留言