面對企業網路基礎架構日益複雜，漏洞管理及修補的資安事務比過往更加消耗企業資源；駭客也時刻找尋，並利用漏洞入侵企業系統架構，以獲取情資或部署攻擊。誰能最快速修補漏洞或藉此發動攻擊，便成為資安風險管理的重要關鍵。

趨勢科技指出漏洞管理三要點：針對自身場域制定修補流程、提升可視性、關注資安情報。

為此，趨勢科技在今年共同主辦的CYBERSEC 2024台灣資安大會中，針對不同垂直產業應用場域漏洞所面臨的獨特挑戰，提出4大漏洞生命週期樣態，帶領現代企業審視自身場域制定修補流程機制；同時呼籲企業應增強資安設備的可視性，並隨時關注漏洞資安情報，方能即時有效評估並降低曝險。

如今修補漏洞已不僅是一項技術工作，更是一場全面的戰略行動，涉及組織內部的流程、資源分配和資安文化的建立。然而，漏洞管理的生命週期從發現漏洞、發布補丁、到修補完成的每個階段，企業應根據自身獨特場域特性和資安需求制定相應舉措，強化前期預防，並將漏洞管理模式區分為以下4種類型：

1. 典型漏洞管理模式：傳統軟體供應商如微軟、思科和蘋果等，通常會遵循定期發布修補程式的慣例。惟從發現漏洞、通知廠商、揭露漏洞並提供補丁，直到實際套用完成更新，約須耗費長達3~10個月時間，足以讓駭客準備進攻，企業資安亦危機四伏。

2. 敏捷漏洞管理模式：為了更快回應環境中的漏洞風險，包括Google等雲端服務供應商會採取更敏捷的策略來執行修補更新作業，須隨時保持靈活性，以免手忙腳亂。

3. 客戶部署導向漏洞管理模式：諸如工控與自動化廠商在管理漏洞時，會優先考量如何協助其客戶快速部署修補更新，而非對外揭露漏洞。因此，公共漏洞揭露資料庫（Common Vulnerabilities and Exposures，CVE）較難以發揮價值，企業反而須透過付費型的漏洞管理協議，來強化其縱深防禦策略。

4. 無線軟體更新OTA漏洞管理模式：如終端行動裝置、汽車供應商，常透過無線軟體更新（On The Air；OTA）方式向客戶發布補丁。卻常因地緣區域有別，即使廠商已完成修補更新，對於終端用戶是否確實完成修補更新的掌握度低、延遲部署到終端裝置，也容易會引發駭客入侵攻擊。

趨勢科技威脅研究副總裁，亦是全球最大「非限定廠商獨立漏洞懸賞計畫Zero Day Initiative（ZDI）負責人Brian Gorenc表示：「當今產業面對漏洞揭露和修補時，不僅需要依照其不同的資安場域需求制定相應策略，以確保其適切性，還需要根據所在行業的揭露模式進行風險評估，以提高防範能力。

此外，隨著生成式AI不斷迭代的大勢，未來的漏洞威脅將變得更加棘手。要想在面對漏洞攻擊時拉高風險防禦線，須透過專業工具的協助，以提高對資安可視性的掌握；並於駭客攻擊前，就預先發現可能的資安破口，方能達到預防與防禦的協同效應。

趨勢科技台灣區總經理洪偉淦表示：「漏洞修補是資安風險管理中相當重要的一環，當今企業為抵擋日益嚴峻的外部威脅，投入許多心力在強化偵測回應能力上。但對於如漏洞管理、權限控管等，幫助強化自身資安體質的基本工作卻相對欠缺。獲得風險可視性並進行管理的有效機制，導致有越來越多的資安破口，為駭客增加入侵的機會。」

此外，企業也面臨資產設備增多、系統架構日趨複雜、資料串接頻繁所導致曝險面積擴大的問題。對於企業所面臨的困難挑戰，企業唯有著眼於將資安佈局『左移』，即在風險早期階段就採取行動，搭配全面的偵測及回應，掌握風險預防與威脅情。才能對內部破口與外部威脅做全方位的資安風險控管，為資安防禦力施打預防針，有效抵禦駭客威脅。

趨勢科技Trend Vision One平台則能為企業偵測重大漏洞，透過檢查所有受影響的端點，同時考量安全控制和配置、威脅活動以及暴露情況，提供企業整體風險及可能遭受的衝擊評估。這有助於企業識別未修補或配置錯誤的系統，以及有風險的用戶行為、優先考慮漏洞修復措施、降低攻擊的潛在嚴重性及通知安全遠程訪問。