弱點管理 (Vulnerability Management)
是什麼?
對確認的弱點決定處置方式並執行追蹤至完成。
1. 接收 Vulnerability Analysis 結果
↓
2. 風險處置決策(與 TARA Risk Treatment 一致)
↓
3. 執行(修補 / Workaround / 接受 / 轉移)
↓
4. 驗證有效性
↓
5. 揭露(依 VDP)
↓
6. 紀錄(含對 CS Case 的更新)
處置選項(與 TARA 一致)
| 選項 | 範例 | 適用 |
|---|---|---|
| Reduce 降低 | 補丁、緩解控制 | 大多數情況 |
| Avoid 避免 | 移除功能 | 風險過高且修補成本高 |
| Share/Transfer 轉移 | 供應商修補、保險 | 來自供應商的弱點 |
| Retain 接受 | 接受作為殘餘風險 | 攻擊可行性極低 / 影響極小 |
→ 詳見 12-TARA-Methods/08-Risk-Treatment
處置決策矩陣
Severity →
Low Med High Critical
┌─────────────────────────────────────┐
Active │ │
Exploit │ Reduce Reduce Reduce EMERG. │
│ (P3) (P2) PATCH (P0) │
├─────────────────────────────────────┤
Public │ Reduce Reduce Reduce Reduce │
PoC │ (P4) (P3) (P2) (P1) │
├─────────────────────────────────────┤
Theory │ Retain Retain Reduce Reduce │
Only │ /Monitor /Monitor (P3) (P2) │
└─────────────────────────────────────┘
P0 = Emergency, P1 = Critical, P2 = High, P3 = Medium, P4 = Low
SLA 範例(業界常見)
| 嚴重度 | 修補目標 |
|---|---|
| Critical (active exploit) | < 24 hours |
| High | < 7 days |
| Medium | < 30 days |
| Low | < 90 days |
Warning
汽車產品的修補不能像 IT 一樣即時。需考慮:
- OTA 部署窗口(不可在駕駛時更新關鍵元件)
- 變更管理(需更新 CS Case、可能需 R155/R156 通知)
- 測試完整性(修補引入新風險的可能)
Patch vs Mitigation
| 選項 | 描述 | 例子 |
|---|---|---|
| Permanent Patch | 修正根因 | 更新 OpenSSL 至 3.0.13 |
| Mitigation / Workaround | 不修根因,降低風險 | 暫時關閉受影響服務 / 加 firewall rule |
| Compensating Control | 加裝其他控制抵消 | 加裝 IDS 監控異常訊號 |
Tip
緊急情況常先用 Mitigation,再規劃 Permanent Patch。
兩者都需文件化。
揭露 (Disclosure)
弱點修補完成
↓
協調揭露時機
↓
┌──────────────────────────────┐
│ 內部揭露: │
│ • 內部 stakeholders │
│ • 受影響的客戶/車主 │
├──────────────────────────────┤
│ 外部揭露: │
│ • 與研究者協調(CVD 流程) │
│ • 申請 / 公告 CVE │
│ • Security Advisory │
│ • ISAC 通報 │
│ • 監管機關通報(如 UN R155) │
└──────────────────────────────┘
通常的 Embargo 期:90 天(業界 CVD 慣例)。
弱點管理紀錄
vulnerability_management:
id: VM-2026-088
related_va: VA-2026-088
cve: "CVE-2026-XXXX"
decision:
treatment: Reduce
priority: P1
rationale: "Critical impact, public PoC, our SBOM affected"
remediation:
immediate_mitigation:
- "Cloud firewall rule blocking malformed TLS handshakes"
- "Deployed 2026-05-12 04:00 UTC"
permanent_patch:
- "OpenSSL upgrade to 3.0.13 in TCU FW v2.4.1"
- "Target OTA rollout: 2026-05-25"
- "Full fleet coverage by: 2026-06-15"
verification:
- "Pen test confirms exploit no longer possible (PT-2026-022)"
- "Regression test passed"
disclosure:
embargo_until: 2026-06-30
cve_published: true
advisory_url: "https://oem-x.com/security/ADV-2026-005"
isac_notified: true
cs_case_update:
- "TARA TS-TCU-007 attack feasibility re-rated"
- "CG-005 evidence updated with new pen test report"
- "Residual risk recorded for fleet members not yet updated"
closure:
closed_date: 2026-07-01
closed_by: "Vulnerability Mgmt Lead"
lessons_learned: "Strengthen OpenSSL upgrade automation"
整合 OTA 流程(UN R156)
弱點處置決策
↓
製作修補(FW)
↓
SUMS 流程(UN R156):
• 識別受影響車型
• 影響評估(safety + security + type approval)
• 修補測試
• 部署計畫
• 使用者通知
↓
OTA 部署(依車型分批)
↓
部署驗證
↓
紀錄完成
證照考點
高頻考點
- 處置選項與 TARA Risk Treatment 一致:Reduce / Avoid / Share / Retain
- Patch vs Mitigation 是不同概念
- SLA 應依嚴重度 + 攻擊狀態分級
- 揭露遵循 CVD 流程,預設 embargo 90 天
- 弱點處置可能需更新 TARA 與 CS Case
- OTA 修補須遵循 UN R156 SUMS 流程
- 殘餘風險(未完成修補的車隊)需文件化
Related Notes
- 05-Continual-Cybersecurity/03-Vulnerability-Analysis
- 10-Operations-Maintenance/02-Updates
- 12-TARA-Methods/08-Risk-Treatment
- 02-Organizational-Management/05-Information-Sharing