來源:iThome「資安界如何優化漏洞修補優先順序?HackerCat教你快速搞懂CVSS、EPSS、KEV這三項指標」、FIRST「CVSS v4.0 Specification Document」、FIRST「Exploit Prediction Scoring System」、CISA「Known Exploited Vulnerabilities Catalog」、國家資通安全研究院「漏洞警示新聞/漏洞警訊公告」、教育機構資安通報平台、資訊小組校園系統維護情境整理
適用對象:使用校務系統、行政平台、教學平台、雲端服務、報名系統、處室網站、活動系統或各類軟體服務之教師、行政同仁與系統承辦人員
治理提醒:漏洞風險不是單靠感覺判斷,也不是學校自行創造一套分數。常見公開指標中,CVSS 由 FIRST 管理,用來描述漏洞本身的嚴重程度;EPSS 由 FIRST 提供,用來估算漏洞被實際利用的可能性;KEV 則是美國 CISA 維護的已知遭利用漏洞目錄,用來提醒哪些漏洞已經出現在實際攻擊情境中。臺灣不同場域也有各自的資安警訊與通報來源,例如公部門可參考國家資通安全研究院發布的漏洞警示與漏洞警訊資訊,教育單位則依教育體系資安通報平台、學術網路相關機制及各區區網中心轉知資訊掌握警訊。學校在安排更新與修補優先順序時,應參考公開指標與場域通報來源,再結合是否實際使用相關系統、版本、模組或功能,以及是否對外開放、是否涉及帳號登入或重要資料,做出處理判斷。
【主題面向簡介】
同仁有時候會看到系統更新通知、軟體修補公告或資安新聞提到「高風險」、「重大漏洞」、「風險分數」等字眼,心裡難免會想:系統明明還可以用,為什麼一直要更新?那些分數到底是什麼?為什麼有些更新被要求優先處理,有些卻可以排程?
近期 iThome 報導介紹了資安界常用的三個漏洞風險參考指標:CVSS、EPSS 與 KEV。這些指標不是本校自行制定,也不是資訊人員憑感覺決定,而是資安界用來協助判斷漏洞風險與修補優先順序的公開參考。
用最白話的方式來看,可以先理解成三個問題:
這個漏洞本身有多嚴重?
外面的人會不會真的拿來攻擊?
是不是已經有人真的被攻擊過?
這篇不是要同仁背英文縮寫,也不是要大家自己研究漏洞細節,而是用比較生活化的方式說明:為什麼有些更新比較急、為什麼風險不能只看一個數字、以及為什麼有些系統暫時不能更新時,仍然需要有替代措施與改善計畫。
漏洞通報和系統更新常常不是一件一件慢慢來,而是一次出現很多資訊。
例如:
作業系統跳出安全更新。
瀏覽器通知要重新啟動完成修補。
校務相關系統廠商通知有版本更新。
教學平台、外掛或雲端工具公告修補項目。
資安新聞提到某項漏洞已被攻擊者利用。
教育體系或區網中心轉知特定系統、設備或軟體的漏洞警訊。
對一般使用者來說,這些通知看起來都像「又要更新」;但對系統維護來說,每一項更新背後的急迫程度不一定相同。
有些漏洞本身很嚴重,但本校沒有使用相關系統或功能。
有些漏洞分數不是最高,但外面已經有人拿來攻擊。
有些系統因為版本、廠商支援或相容性問題,不能立刻更新,但也不能當作沒事。
因此,漏洞風險的判斷不能只看標題紅不紅,也不能只看系統現在能不能正常使用,而要把公開指標、通報來源與實際環境一起看。
第一、CVSS:看漏洞本身有多嚴重。
CVSS 是通用漏洞評分系統,由 FIRST 管理,用來描述漏洞本身的技術嚴重程度。FIRST 的 CVSS 說明指出,CVSS 會描述軟體、硬體與韌體漏洞的主要技術特徵,並輸出數值分數,用來表示漏洞相對嚴重性。
白話來說,CVSS 有點像是在看「傷口本身有多嚴重」。如果這個漏洞被利用,可能造成多大影響?會不會影響帳號、資料、系統操作或服務可用性?這是第一個判斷角度。
但 CVSS 不是全部。分數高代表漏洞本身嚴重,但還要看這個漏洞和我們實際環境有沒有關係。
第二、EPSS:看外面會不會真的拿來攻擊。
EPSS 也是 FIRST 提供的漏洞利用預測系統。FIRST 對 EPSS 的說明是:它是一個資料驅動的機器學習模型,用來估算已公開漏洞在未來 30 天內被實際利用的可能性。
白話來說,EPSS 有點像是在看「外面的人會不會真的來打」。有些漏洞理論上很嚴重,但攻擊門檻高、利用案例少;有些漏洞可能很快就被攻擊者拿來掃描、測試或利用。
所以 EPSS 提醒我們:風險不只看漏洞嚴不嚴重,也要看它被拿來攻擊的可能性高不高。
第三、KEV:看是不是已經有人真的被打過。
KEV 是 CISA 維護的已知遭利用漏洞目錄。CISA 說明,這個目錄是為了協助資安社群與網路防禦者管理漏洞,收錄已在實際環境中被利用的漏洞。
白話來說,KEV 就像是「已經有人真的被打過」的清單。它提醒我們:這不是紙上風險,也不是單純猜測,而是外面已經出現實際利用情況。
如果一個漏洞出現在這類已遭利用清單中,代表它的處理急迫性通常會提高。
第四、臺灣不同場域也有各自的資安警訊與通報來源。
除了 CVSS、EPSS、KEV 這類國際常見公開指標外,臺灣不同場域也會透過相應管道掌握漏洞警訊與資安通報資訊。
例如,公部門可參考國家資通安全研究院網站發布的漏洞警示新聞、漏洞警訊公告與重大漏洞資訊;教育單位則可透過教育機構資安通報平台、學術網路相關機制及各區區網中心轉知資訊掌握教育場域相關警訊;醫療場域也有衛生福利部相關資安資訊分享與通報機制。
這些來源的角色,是協助不同場域掌握警訊、通報事件與安排後續處理,而不是由學校自行創造風險分數。
第五、三個指標要一起看,還要看本校環境。
iThome 這篇文章提到,CVSS 是起點但不是終點,EPSS 提供被利用機率,KEV 則代表緊急性,同時仍必須考量自身環境。文章也提到,漏洞管理的目標不是立即全部修完,而是透過漏斗式篩選,優先找出真正需要處理的項目。
換成校園情境,就是:
本校有沒有使用相關系統?
是否使用受影響版本?
是否啟用相關功能或模組?
是否對外開放?
是否涉及帳號登入、資料填報或重要服務?
如果答案是「有」,中、高風險就不能只停留在知道;如果答案是「不適用」,也應留下判斷依據,例如本校未使用該系統、版本不受影響、未啟用相關功能,或服務未對外開放。

● 第一招(先看來源|紅字背後不是憑感覺判斷)
看到系統更新、修補通知或漏洞新聞時,不用急著研究技術細節,但可以知道紅字背後可能代表不同意思。
有些紅字代表漏洞本身很嚴重。
有些提醒代表外部利用機率變高。
有些清單代表漏洞已經在真實攻擊中被利用。
有些通報代表特定場域已接獲警訊或需要注意。
這些指標與通報來源不是本校自行創造,而是來自公開指標、資安社群、主管機關或場域通報機制。它們的作用,是幫助系統維護人員在大量更新與漏洞資訊中,先分辨哪些項目比較急、哪些可以排程處理。
這一招的重點是:看到風險分數,不要只理解成「又要更新」,而是知道背後是在判斷嚴重程度、攻擊可能性、實際利用情況與場域通報來源。
● 第二招(再看環境|是不是和我們實際使用有關)
漏洞指標只是第一層,還要再看本校實際環境。
可以從幾個問題判斷:
本校有沒有使用這套系統或軟體?
目前使用的版本是否受影響?
相關功能或模組有沒有啟用?
這個系統是否對外開放?
是否需要帳號登入?
是否涉及資料填報、查詢、下載或重要服務?
如果漏洞和本校實際環境無關,例如沒有使用該系統、版本不受影響、功能未啟用,或服務未對外開放,就可以判定為不適用,但應留下判斷依據。
如果漏洞和本校實際環境有關,尤其又涉及對外服務、帳號登入或重要資料,就應提高處理優先順序。
這一招的重點是:風險不是只看外部新聞,也要看和本校實際使用情境是否相關。
● 第三招(資安應變程序|中高風險要有處理作為)
中、高風險不能只停留在「知道有這件事」。
如果確認和本校使用的系統、版本、功能、模組或對外服務有關,就應納入處理範圍。
低風險項目可列入例行維護與觀察。
中風險項目屬於必要納入處理與追蹤的項目,但是否立即更新,仍須依各系統實際狀況判斷。若可更新,應排程處理;若暫時不適合更新,應有替代措施、改善時程與追蹤紀錄。
高風險若與本校實際使用環境相關,更新或修補是優先選項。
如果因系統相容性、廠商支援、活動期間、設備條件或業務不中斷需求,暫時無法立即更新,應列出替代措施,例如限制使用範圍、縮小可連線來源、避免不必要對外公開、加強帳號與權限管理、確認備份與復原方式,或透過網段區隔、存取控管降低暴露風險,並列入後續改善計畫。
如果判斷不適用,也要留下理由,例如本校未使用該系統、未啟用該功能、版本不受影響,或服務未對外開放。
這一招的重點是:中、高風險都不能放著不管。更新是最直接的降低風險方式;不能立即更新時,要有替代措施與改善計畫;判定不適用時,也要有判斷依據。
資訊小組提醒
漏洞風險指標不是要增加同仁負擔,而是讓大家知道:更新與修補不是憑感覺決定,也不是看到紅字就全部同時處理。
請記住四個小提醒:
CVSS 看的是漏洞本身有多嚴重。
EPSS 看的是漏洞被實際利用的可能性。
KEV 看的是漏洞是否已經出現在實際攻擊情境中。
臺灣不同場域也有各自的資安警訊與通報來源,教育單位也會依教育體系通報平台、學術網路相關機制及區網中心轉知資訊掌握警訊。
所以,當看到系統更新、修補通知或維護公告時,不要只把它看成打擾使用的程序。它背後可能是在處理已知風險、降低被利用機會,或避免系統在重要時刻出問題。
能更新就排程更新;暫時不能更新,也要有替代措施與改善計畫。風險分數不是紅字而已,而是提醒我們用更有依據的方式,把真正需要處理的項目排出來。
網站連結
iThome:資安界如何優化漏洞修補優先順序?HackerCat教你快速搞懂CVSS、EPSS、KEV這三項指標
https://www.ithome.com.tw/news/176987
FIRST:CVSS v4.0 Specification Document
https://www.first.org/cvss/specification-document
FIRST:Exploit Prediction Scoring System
CISA:Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
國家資通安全研究院:漏洞警示新聞
教育機構資安通報平台