弱點管理 vs. 滲透測試:APAC中小企業真正需要的是什麼
簡短結論:幾乎每一家亞太中小企業都應該先建立持續性的弱點管理,因為這是監管機構與網路保險公司全年期望看到的基本控管措施。滲透測試則是週期性、更深入的檢測——受SFC、MAS或HKMA監管的公司,或落入PCI-DSS範圍的企業,通常會被要求每年或系統上線時執行一次——它是弱點掃描的補充,而非替代品。
弱點管理與滲透測試有何不同?
這兩個名詞在業務對話中經常被交替使用,而這種混淆會讓中小企業真的花冤枉錢——不是花大錢買了一次性的滲透測試,結果其實需要的是持續性的掃描計畫;就是訂閱了掃描服務,卻誤以為這樣就滿足了監管機構明確要求的滲透測試條款。這兩者解決的是不同的問題,時間軸不同,價位也不同。
弱點管理是持續性的計畫
弱點管理(有時簡稱VM)是一個不斷循環的流程:自動化工具依排定的頻率——每週、每月,或依方案採連續掃描——對你的對外IP範圍、內部網路、端點、雲端工作負載,有時還包括網頁應用程式進行掃描,標記已知的CVE漏洞、遺漏的修補程式、脆弱的設定與暴露的服務。分析人員會複核結果、剔除誤判、依可利用性與業務衝擊排定優先順序,再交給你的IT團隊(或委外的管理型IT夥伴)一份有優先順序的修補清單。這個循環會無限期重複下去。與其說是一個專案,不如說更像訂閱制——比起一次性稽核,它更接近備份或端點防護的概念。
滲透測試是特定時間點的模擬攻擊
滲透測試(pentest)是一個有期限的委任案:一位持證測試人員(OSCP、CREST或同等資格)會手動嘗試入侵指定範圍——一個網頁應用、一個辦公室網路、一個雲端環境,或某個特定系統——使用真實攻擊者會採用的手法,包括把幾個低風險的問題串連成一次嚴重的入侵,而這是自動化掃描工具看不出來的。測試通常為期一至三週,結束後會提供詳細報告與簡報會議,之後就結案,直到下一次委任,通常是六到十二個月後。滲透測試會告訴你「攻擊者是如何一步步從你的公開網站,攻入你的財務伺服器」——這種敘事與創意,是掃描工具做不到的。
弱點管理 vs. 滲透測試:並列比較
- 範圍:弱點管理是對範圍內所有資產(IP、主機、雲端資源,有時還包含應用程式)進行自動化、系統性的全面掃描,並反覆執行。滲透測試的範圍較窄且採人工作業——由測試人員深入探究單一應用、網路區段或特定攻擊情境。
- 頻率:弱點管理每週到每月執行一次(若採用現代化工具則可連續進行);滲透測試通常是每年或每半年一次的活動,或是綁定特定觸發事件,例如新產品上線或牌照續期。
- 計價模式:弱點管理採訂閱制計價,通常每月費用遠低於一次滲透測試;滲透測試以專案方式計價(日費率 × 測試人員天數),每次委任的一次性費用通常高出許多,但因為一年只執行一到兩次,全年總成本反而較低。
- 監管驅動因素:大多數監管機構與標準(SFC、MAS、HKMA、PCI-DSS、ISO 27001附錄A)都期望每家納入範圍的公司持續執行弱點管理,作為基本控管;滲透測試通常是額外、明確列名的要求,針對風險較高的公司或系統(例如SFC第9類牌照持有人、PCI-DSS要求11.4、MAS TRM指引)。
- 產出成果:弱點管理產出的是依CVSS評分排序的已知弱點清單、修補建議,以及隨時間變化的趨勢報告;滲透測試產出的是敘事型報告,說明各項發現如何被串連成一次真實入侵,並附上業務風險說明,通常還包含給董事會看的executive summary。
- 涵蓋範圍的優勢與盲點:弱點管理很擅長抓出已知CVE、遺漏的修補與設定錯誤,但對複雜的邏輯漏洞、串連式攻擊與社交工程角度較弱;滲透測試能抓出這些有創意的攻擊路徑,但只反映當下的一個切面——測試結束後一週才公開的新弱點,在下一次委任之前是看不到的。
APAC中小企業什麼時候真的需要滲透測試?
滲透測試從「有做更好」變成「非做不可」的那一刻,通常是監管機構、重要客戶或支付機構把你的公司名字列入合規範圍的時候。觸發點很少是「我們覺得應該多測試一下」,而是牌照條件、合約條款或控管框架裡明確列出的一項要求。
受SFC、MAS、HKMA監管的金融機構
香港證券及期貨事務監察委員會(SFC)、新加坡金融管理局(MAS)與香港金融管理局(HKMA)都期望受監管公司測試其系統的韌性,而且愈來愈多是透過有紀錄的滲透測試證據來驗證,而不只是一紙政策聲明。舉例來說,申請SFC第9類(資產管理)牌照的公司,經常被保薦人與審計師要求證明其IT系統盡職調查中包含獨立的安全測試,而不只是書面政策。MAS的科技風險管理(TRM)指引也明確將滲透測試與弱點評估列為受監管金融機構應有的做法,並依機構風險等級調整深度。如果你的公司落在這些監管範圍內,應把每年(或牌照申請前)的滲透測試視為幾乎不可協商的必要項目,並搭配管理型資安服務,防止測試找出的漏洞在下次委任之前又悄悄重新出現。
PCI-DSS範圍(任何儲存、處理或傳輸卡片資料的企業)
PCI-DSS要求11.4明確規定至少每年執行一次滲透測試,並在任何重大基礎架構或應用程式變更後再次執行,這是在要求11.3每季對外及對內弱點掃描之外的額外要求。這是所有合規框架中最清楚的案例之一:標準把兩項控管分開列名,兩者都要做——如果你的環境有處理卡片資料,只執行弱點掃描並不算符合PCI-DSS,不論掃描結果看起來多乾淨。
其他企業:合約、保險與客戶驅動的觸發因素
即使沒有正式的牌照制度規範,愈來愈多亞太中小企業在企業客戶的供應商盡職調查、網路保險核保,或併購與募資過程中,被要求提供最近的滲透測試報告。這些觸發因素比監管時程更難預測,因此務實的做法是把弱點管理當作持續運作的基本盤,等到特定交易、稽核或續約真的有需求時,再委任滲透測試——而不是照著沒人要求的固定週期,花錢做滲透測試。
APAC的弱點管理與滲透測試費用大概多少?
確切金額會因範圍、服務商與市場而異,但成本曲線的形狀在香港、新加坡與中國大陸的委任案中相當一致。弱點管理是以每月或每年訂閱制銷售,依納入範圍的資產數量分級——監控的IP、端點與雲端工作負載愈多,方案等級愈高。滲透測試則是以專案形式銷售:先進行範圍確認電話會議,界定目標(單一網頁應用、辦公室網路、雲端租戶),測試人員估算所需天數,你依日費率乘以估算天數付費,通常每次委任結算一張發票。
正因為這樣的結構,一套經營良好的弱點管理計畫,按月計算幾乎總是比較便宜的那一個,而且它在兩次滲透測試之間仍持續發揮作用——今天執行的掃描能抓到上週才公開的重大CVE;六個月前的滲透測試報告則完全反映不出這個問題。這正是為什麼監管機構把弱點管理視為基本盤、滲透測試視為週期性深度檢查,而不是反過來。
如果你想看實際的方案定價而不是概略估算,Brocent公開了弱點掃描定價,涵蓋入門版、專業版與企業版三個方案,讓你在洽談之前就能先抓好預算。
你的中小企業應該先投資哪一項?
對絕大多數的亞太中小企業——也就是沒有硬性監管滲透測試要求的公司——誠實的答案是:先從弱點管理開始,等出現具體、明確的觸發因素時,再加上滲透測試。以下是逐步推導的理由。
步驟一:你現在有明確的監管或合約滲透測試要求嗎?
如果你持有SFC第9類牌照(或正在申請)、依MAS TRM指引營運、受HKMA監管,或會儲存、處理、傳輸信用卡資料(落入PCI-DSS範圍),答案是肯定的,你應該不論本文其他內容,都定期委任每年一次的滲透測試。如果答案是否定的——對大多數金融服務與支付業以外的中小企業而言確實如此——請進入步驟二。
步驟二:你現在有持續性的弱點可視性嗎?
我們在香港、新加坡與中國大陸接觸到的大多數中小企業都沒有——修補是被動反應式的,也沒有人手上有一份目前、有優先順序的清單,列出整個環境中暴露的服務或遺漏的更新。如果這說的就是你,弱點管理就是你的起點,沒有例外。對一個沒有人持續監控的環境委任一次性滲透測試,價值有限:測試人員很可能只是找到掃描工具本來就能以更低成本抓到的簡單設定錯誤,而六個月後,同一類問題又會在沒人注意的情況下悄悄重新出現。
步驟三:弱點管理上線後,何時該加入滲透測試?
以下情況該加入滲透測試:客戶、保險公司或投資人明確要求;你正推出面向客戶的新應用程式或進行重大基礎架構變更;監管範圍新納入你的公司;或距離上次獨立測試已超過12個月,而你的風險輪廓(對外系統、客戶資料量、與金融服務業的關聯程度)值得一次週期性深度檢查。無論哪種情況,針對特定系統或觸發事件的滲透測試,都比籠統、通用的測試更有價值。
弱點管理與滲透測試如何協同運作
這兩者並不是搶同一筆預算的競爭對手——它們是同一套計畫裡先後銜接的兩層防護。弱點管理就像煙霧偵測器:一直開著,在未修補的軟體與暴露的服務演變成事故之前就先抓出來。滲透測試則像消防演習:偶爾進行一次真實的壓力測試,驗證你的防禦是否禁得起有決心、有創意的攻擊者,串連起煙霧偵測器看不到的問題。
實務上,成熟的資安計畫會全年持續運作弱點管理,用它的發現持續清理環境,再依年度(或依監管週期)針對已清理過的環境委任一次滲透測試——這樣滲透測試的預算就能花在挖掘真正棘手、有創意的問題上,而不是重複列出掃描工具本來就免費抓到的漏補清單。這樣的順序安排,也正是大多數審計師與監管機構期望看到的做法:一套有紀錄、持續運作的掃描計畫驅動修補,再疊加週期性獨立測試作為驗證。
這正是Brocent管理型資安服務背後的模式:每位客戶都有持續運作的弱點掃描基本盤,滲透測試則作為協同搭配的加購服務,提供給有需要的公司——而不是把兩項服務分開單獨銷售。
Brocent的受管理弱點掃描服務:入門版、專業版與企業版
Brocent以受管理服務的形式提供弱點掃描,而不只是賣一套工具授權——這個差異很重要,因為大多數中小企業並沒有多餘的資安分析人員,能每個月解讀一份40頁的掃描工具匯出報告。發現的問題會經過複核、剔除誤判,最後送到你信箱的,是一份有優先順序、用白話文寫成的修補清單,你的IT團隊(內部或委外)可以馬上採取行動。此服務分為三個方案,讓預算依風險暴露程度分級,而不是強迫每位客戶都套用同一個方案。
三個方案比較
- 入門版:適合辦公室規模較小、對外攻擊面也不大的公司;涵蓋對外IP與核心服務,每月掃描一次,附上摘要報告並標出最優先要修補的項目。對從未做過持續性掃描、需要快速建立基本盤的中小企業來說,這是理想的起點。
- 專業版:把涵蓋範圍延伸到內部網路區段與更多資產,加快掃描頻率,並加入分析人員複核的優先順序排序與趨勢報告,讓你能看出修補是否真的逐月降低風險暴露。適合辦公室與雲端混合運作、或即將面臨初步合規要求的中小企業。
- 企業版:全方位方案:涵蓋對外、內部與雲端環境的更廣資產範圍、最密集的掃描頻率、更深入的分析人員參與,以及適合董事會或審計師審閱的報告格式。這個方案也最適合搭配週期性滲透測試,因為它能為測試人員提供真正乾淨的基本盤,而不是一份早已知道的未解決問題清單。
完整的分級定價可在弱點掃描定價頁面查看。如果你在資安工具方面幾乎從零開始,資安入門套裝將弱點掃描與多數中小企業第一天就需要的其他基本控管一起打包。
滲透測試作為協同加購服務,在客戶的基本盤建立完成後才提供——Brocent會依客戶實際的監管觸發因素或業務需求(例如SFC牌照申請、客戶盡職調查要求、新應用程式上線)來界定測試範圍,而不是銷售一套不一定符合審計師或監管機構實際要求的通用年度測試。
常見問題
弱點掃描跟滲透測試是同一件事嗎?
不是。弱點掃描是自動化、持續進行的,依排定頻率檢查你整個環境中已知的CVE、遺漏的修補與設定錯誤。滲透測試是人工、特定時間點進行的,由真人測試人員主動嘗試利用並串連弱點,包括自動化掃描工具偵測不到的問題。大多數合規框架要求兩者都做,而不是二選一。
SFC第9類牌照持有人依法一定要做滲透測試嗎?
SFC並沒有發布一條適用於所有第9類牌照持有人的統一硬性規定,但保薦人、審計師,以及SFC本身對IT系統治理的監理期望,通常都要求牌照申請與後續監理過程中提供獨立安全測試的書面證據,尤其是有客戶交易系統的公司更是如此。實務上,大多數準備申請SFC第9類牌照的公司,都會把滲透測試納入其IT就緒套裝的一部分。
中小企業應該多久執行一次弱點掃描?
對大多數中小企業而言,至少每月一次;對外攻擊面較大或變動較快的公司,或即將面臨合規期限的公司,則建議每週或連續進行。PCI-DSS明確要求每季至少進行一次對外與對內掃描,重大變更後還要重新掃描。
中小企業應該多久執行一次滲透測試?
對於有監管期望的公司(SFC、MAS、HKMA、PCI-DSS),每年一次是常見的基本頻率,測試環境有重大變更時(新的面客應用程式、重大基礎架構遷移、重大網路重新設計)也應再測試。若沒有正式的強制要求,許多中小企業每12到24個月測試一次,或在客戶/保險公司/投資人明確要求提供最新報告時才進行。
弱點管理可以取代必要的滲透測試嗎?
不行——只要滲透測試被明確列為要求,就無法取代。PCI-DSS要求11.4以及一般金融監管機構的期望,都把兩項控管分開列名,審計師在勾選「滲透測試」這個項目時,不會接受用弱點掃描報告來替代。不過弱點管理確實能減少滲透測試發現問題的數量與嚴重程度,進而降低測試後的修補成本。
弱點管理報告實際上長什麼樣子?
你可以預期收到一份依嚴重程度(通常使用CVSS評分)與可利用性排序的發現清單、每個項目的白話修補建議、適合非技術利害關係人閱讀的executive summary,以及顯示風險暴露是逐次掃描縮小還是擴大的趨勢資料。受管理服務(而非純粹的掃描工具授權)也會在報告送達你手上之前先過濾掉誤判。
沒有監管要求的小公司,做滲透測試值得嗎?
可能值得,但順序很重要。如果你還沒有建立持續性的弱點管理,滲透測試的預算通常更適合先拿來建立掃描機制——成本更低、能抓到大部分的低垂風險,也能讓未來的滲透測試有更乾淨的基本盤可以測。掃描機制建立好之後,週期性滲透測試對任何處理敏感客戶資料、或面對大型合作夥伴盡職調查提問的企業,都是合理的投資。
這跟Microsoft 365安全稽核有什麼關係?
Microsoft 365安全稽核是針對你M365租戶設定(身分識別、條件式存取、郵件流程、資料外洩防護設定)的重點檢視,而不是網路或應用程式層級的全面測試。它與弱點管理及滲透測試互為補充——許多亞太中小企業會在12個月的週期內同時執行這三項:持續性掃描、每年或每兩年一次的M365設定稽核,以及依特定監管或業務觸發因素安排的Microsoft 365安全稽核,再加上滲透測試。
開始行動
如果你不確定哪個方案或哪項控管適合你目前的風險輪廓與監管範圍,最快的方式是直接聊一聊,而不是單靠定價頁面猜測。你可以查看Brocent資安服務的完整定價,或是與我們聯繫安排一次範圍確認電話會議——大多數中小企業在通話結束後,都能清楚、誠實地回答「弱點管理、滲透測試,還是兩者都要,先後順序又該怎麼排」。
諮詢電話中常見的問題
一般定價與服務相關問題也整理在我們的常見問題頁面,包括方案如何依資產數量分級,以及修補支援如何搭配掃描服務運作。
分享:
📬 亞太IT月報
中國合規動態、網絡安全預警及亞太IT實踐指南,每月一期。
不發垃圾郵件,隨時可取消訂閱。