Vulnerability Response Pattern
Vulnerability Response Pattern
Vulnerability response pattern 的責任是把漏洞事件拆成可交接狀態。狀態機讓平台、資安、服務 owner 與 incident commander 能用一致語意協作。
支撐素材
| 素材 | 可支撐論點 |
|---|---|
| CISA Playbooks | vulnerability response 需要識別、協調、修復、復原與追蹤 |
| Citrix Bleed edge case | patch 後仍要 hunting 與 session invalidation |
| CISA GeoServer IR case | patch delay 與 public-facing exposure 需要優先處理 |
狀態
| 狀態 | 責任 |
|---|---|
| Observed | 發現 advisory、alert 或 exposure |
| Assessed | 判斷受影響資產、曝險窗口與 exploitability |
| Mitigated | 先限縮存取、提升監控或隔離 |
| Patched | 完成修補或版本升級 |
| Validated | 驗證 exploit path、session、log 與 downstream impact |
| Closed | 關閉事件並回寫控制面 |
判讀訊號
| 訊號 | 代表需求 |
|---|---|
| 修補完成但仍有異常 activity | 需要 validated 狀態 |
| advisory 進來後不知道誰排程 | 需要 observed 到 assessed 的 owner |
| public-facing system 在 KEV 清單中 | 需要加速 mitigated 與 patched |
適用邊界
此模式適合 public-facing system、edge gateway、MFT、database middleware 與身份系統漏洞。純 library risk 可以接到 release gate,但仍要保留 assessed 與 validated 狀態。