27. 面對日益嚴峻的軟體供應鏈攻擊(如 Log4j 事件),企業欲建立快速識別受駭資產的 能力。下列何項機制能最有效地協助組織在漏洞揭露當下,精準定位內部系統是否 使用了含有漏洞的第三方元件?
(A)定期執行外部弱點掃描(Vulnerability Scanning)
(B) 建立並維護軟體物料清單(SBOM)
(C) 要求供應商提供每季一次的滲透測試報告
(D)在所有伺服器上安裝主機型入侵偵測系統(HIDS)
統計: A(10), B(61), C(6), D(9), E(0) #3871562
詳解 (共 1 筆)
為什麼 (B) 最有效?
什麼是 SBOM?
軟體物料清單(SBOM) 就像是食品的「成分配料表」。它詳細記錄了軟體中所包含的所有第三方元件、開源套件、版本號以及它們之間的依賴關係。
精準定位能力:
一旦國際上揭露了某個特定套件(如 Log4j 2.14.1 以前版本)有漏洞,資安人員不需要大費周章去每一台伺服器通靈盤查,只需要直接搜尋內部的 SBOM 資料庫,就能在幾秒鐘內**「精準定位」**出哪些系統引用了該元件,並立刻著手安排隔離或修補。這完全契合題目要求的「在漏洞揭露當下,精準定位內部系統是否使用了含有漏洞的第三方元件」。
? 為什麼其他選項無法達到同樣的「精準定位」效益?
(A) 定期執行外部弱點掃描 (Vulnerability Scanning)
原因:外部弱點掃描主要偵測的是「已暴露在外網、且能被特徵碼辨識」的已知漏洞。然而:
1. 許多包含漏洞的套件隱藏在內網、後台或程式碼深處,外部掃描器根本掃不到。
2. 零日漏洞剛披露時,掃描軟體可能還沒有更新該漏洞的特徵碼(Plugin),導致揭露當下無法立刻查出。
(C) 要求供應商提供每季一次的滲透測試報告
原因:
1. 時效性太差:每季一次的報告無法解決「漏洞在今天揭露,今天就要定位」的即時性需求。
2. 覆蓋率有限:滲透測試是人工針對特定路徑進行攻擊嘗試,不等於對軟體所有底層元件進行全面清點,極容易漏看隱藏的依賴元件。
(D) 在所有伺服器上安裝主機型入侵偵測系統 (HIDS)
原因:HIDS 屬於事中或事後的防禦/偵測手段。它是在駭客「已經開始利用漏洞進行攻擊」時(例如出現異常程序行為或系統檔案被改動),才會發出告警。它沒辦法在漏洞剛揭露、攻擊還沒發生時,主動幫你「清點並定位」哪些資產內含該風險元件。