編輯部在智安佈局・零信不疑《2025 NMT 資安即未來論壇-新竹場》中,力悅資訊總經理彭國達以「向左走的資安:憑證管理自動化與漏洞 AI 修補」為題,為與會者帶來一場深入淺出的技術分享。他從生活化的角度切入複雜的資安議題,闡述了為何企業必須從傳統的「被動偵測」轉向「主動解決」的資安策略。
本文目錄
PKI 與機器身分:網路信任的基石
彭國達首先以護照申請的流程比喻數位憑證的運作機制。他指出,在網路世界中存在兩種身分角色:人類與機器。人類透過帳號密碼進行身分驗證,而機器則仰賴數位憑證。這些憑證就像是機器的「身分證」,透過公鑰基礎建設 (Public Key Infrastructure, PKI) 提供安全通訊、資料完整性驗證、身分認證以及不可否認性等四大核心功能。
「密碼學是用數學方法保護資訊安全的過程,」彭國達說明,透過公開金鑰與私密金鑰的配對機制,資料經過加密後只能由持有正確私鑰的對象解密,這確保了通訊的安全性。而憑證授權中心 (Certificate Authority, CA) 則扮演類似政府機關的角色,負責驗證身分並核發合法的數位憑證。
他特別強調,所有公開 CA 都必須遵循 CA/Browser Forum 制定的標準與規範,這個由瀏覽器廠商如 Google 、 Microsoft 、 Apple 與憑證供應商如 DigiCert 、 GlobalSign 組成的論壇,確保了整個 PKI 生態系統的可信度。
憑證管理面臨的四大挑戰
彭國達指出,隨著數位轉型加速,企業面臨的憑證管理挑戰日益嚴峻。首先是中斷與停機風險:憑證過期導致的服務中斷,可能造成每分鐘高達 5,600 美元的損失,一年累積下來可達 400 萬美元。其次,人工管理容易出錯且成本高昂,尤其 CA/Browser Forum 已決議將 TLS 憑證有效期從現行的 398 天,分階段縮短至 2029 年的 47 天,這將使續期次數暴增 8 倍。
第三項挑戰來自傳統 PKI 架構。「傳統的 Windows PKI 無法擴展以滿足動態雲端環境與行動裝置的需求,」彭國達表示,其營運與維護帶來不必要的高風險與高成本。最後,企業還面臨合規違規風險、昂貴的停機成本以及潛在罰款。
他以生動的圖表展示,若企業擁有 52,000 張憑證,當有效期縮短至 47 天後,每年需進行 472,000 次續期作業。若每次耗時 1 小時,相當於 54 年的人工工時,現行人工流程根本無法負擔。
漏洞管理的困境:量大、速快、修補不足
在漏洞管理方面,彭國達揭示了一個驚人的現實:過去 10 年間,CVE (Common Vulnerabilities and Exposures) 漏洞數量從 2015 年的 6,494 個暴增至 2024 年的 40,301 個,增幅達 520% 。其中 CVSS 評分 7 分以上的高危與嚴重漏洞占比高達 56%,超過 11 萬個。
更嚴峻的是,每月新增的漏洞數量超過 3,000 個,但即使是反應最快的修補供應商,也只能提供約 1% 的漏洞修補方案。單一重大修補從發現到完成修補平均需要 130 天,而攻擊者利用漏洞的時間卻越來越短。彭國達特別分析了勒索病毒與 CVE 漏洞的關聯,指出與勒索病毒相關的 48 個 CVE 中,54% 為嚴重等級、 44% 為高風險等級。
他批評傳統的網路掃描只能找出「表面問題」:耗時冗長、可視性有限、高比例誤報、掃描間隔期間存在安全盲點,且修復能力有限甚至不存在。根據企業調查,僅 9% 的受訪者認為修補有效,相較之下有 61% 滿意偵測成效,顯示出修補一直是資安鏈中的薄弱環節。
vRx 平台:整合發現、排序與修復的全方位解決方案
為了應對這些挑戰,彭國達介紹了 Vicarius 的 vRx 平台,這是首款整合漏洞發現、優先排序與進階修復的全方位解決方案。在發現階段,vRx 提供即時可視性、 IT 資產盤點,涵蓋 CVE 、修補及零日漏洞,支援超過 11,000 種應用程式,遠超過次要競爭者的約 1,000 種。
在優先排序方面,vRx 的創新引擎結合組織基礎架構的環境脈絡、數千個資料點以及零時差漏洞資訊,透過 AI 進行動態情境化優先排序。系統會分析 NVD (National Vulnerability Database) 資料、 CVSS 評分、即時網路態勢與動態環境因素,並運用獨特的「x_tags」標籤系統,標記包括管理員權限使用、網路通訊需求、已知利用方式、修補程式可用性等超過 20 種風險因子,幫助企業精準識別最需要優先處理的漏洞,減少 60%-80% 的工作量。
在修復層面,vRx 提供三層架構:第一層是傳統修補,自動識別應用程式、找到所需修補並按時間表自動部署;第二層是腳本管理,應對基於組態的常見漏洞,支援 CIS Benchmark 與 Rollback 能力;第三層則是獨步全球的虛擬修補 (x_protect) 功能。
「當修補無法部署時,vRx 的虛擬修補提供替代性控制措施,」彭國達解釋,這項技術能在不停機的情況下,將風險降至可接受的水準,特別適用於已達生命週期終止 (EOS) 的系統或自行開發的應用程式。
使命:解決問題比發現問題更重要
彭國達強調,Vicarius 的使命是「解決問題比發現問題更重要」。 vRx 平台不僅能發現專有及小眾應用程式的漏洞,即使沒有官方 CVE 也可檢測,更能提供具體的修復建議與自動化執行能力。
他引用客戶見證指出,NovaCopy 公司技術與安全運營管理副總裁 Billy Turner 表示:「vRx 平台透過整合漏洞管理能力,極大地節省了時間並提高效率,特別是針對特定軟體的第三方修補自動化管理,效率提升高達 80% 。」Charter School Associates 資訊技術資深總監 Michael Cortez 也分享:「我們成功縮短了修復漏洞的平均時間,並能根據漏洞的嚴重性安排更新和修補計劃。如果情況特別嚴重和緊急,我們還能立即部署修補。」
在簡報最後,彭國達總結了 vRx 的四大獨步全球的關鍵價值:All in one 整合平台、 AI 即時優先排序、虛擬修補防護,以及 AI 最佳自動化修補。這場演講不僅展示了技術創新的可能性,更提醒企業必須從「向右走」的被動防禦思維,轉向「向左走」的主動防護策略,在漏洞被利用之前就先一步解決問題,才能在快速變化的威脅環境中保持競爭優勢。
《2025 NMT 資安即未來論壇-新竹場》精彩議程會後報導
- 資安院孫偉哲主任:情資驅動的防護策略,製造業面對資安威脅的治理新模式
- 台灣駭客協會理事王仁甫:AI 驅動下的製造業資安戰線,從內部治理到外部攻擊的全方位防禦
- 智安佈局掌握資安:Fortinet 揭示 AI 時代的資安防護新策略
- 零信任、零複雜 Forescout 以動態授權管理實現全面資產掌控
- 守護資產的未來:零信任安全架構實踐 Array Networks 打造安全遠端存取新標準
- 產業轉型必備:全面內網安全管理託管 中飛科技 FAiRGUARD 五大服務建構內網防護體系
- 資安升級為企業增加競爭力:AI 驅動零信任架構 Citrix 以 VDI 、 ZTNA 與企業瀏覽器打造資料不落地防護體系
- 加強營運技術環境的資安韌性 Trellix 提出 OT 安全防護新思維