37. 【題組 5】情境如附圖所示。當滲透測試者通報可以遠端執行 指令的弱點時，尚在內部封閉測試期間，您應該首先採取的行 動是下列何項？
(A) 關閉受影響的 web 應用程式
(B) 馬上通知公司的所有員工
(C) 聯繫滲透測試者進行進一步的詳情討論
(D) 通報網路安全當局

以下針對各選項做逐一說明，並解釋其適用情境與可能的問題點。題目強調是在「內部封閉測試期間」，且滲透測試者剛通報「可以遠端執行指令的重大弱點」，問「最先應該採取的行動為何？」

(A) 關閉受影響的 web 應用程式

• 說明：
  • 若發現嚴重漏洞，第一時間「關閉」受影響的服務或應用程式，確實可以防止外部攻擊者繼續利用該漏洞。
  • 然而題目強調「尚在內部封閉測試期間」，意味著應用程式尚未正式對外（或一般公開）提供服務，且此時最關鍵的是釐清漏洞細節、盡快著手修補。
  • 在實務上，是否關閉服務需視其對業務運作的影響及漏洞可能帶來的風險評估而定。有時可能先透過網路存取管控（例如封鎖特定 IP、加強防火牆規則）或是啟用替代機制，而不一定要「立刻整個關閉」。
• 結論：
  • 直接關閉服務並非常見的第一步，而是「可能的緊急因應選項」之一，尤其若服務仍在測試階段，可考慮暫時下架修復。但在許多情況下，會先與測試者溝通，瞭解漏洞利用方式與範圍，再決定是否關閉。

(B) 馬上通知公司的所有員工

• 說明：
  • 通常只有在確認漏洞已經造成嚴重資安事件（例如：資料外洩、內部系統遭入侵擴散）或需要每位使用者立即改密碼等高緊急度事件，才會對全公司進行廣泛通知。
  • 在「內部封閉測試」期間尚未對外公開，也尚未確認漏洞是否已被他人利用（或是否產生實際危害），此時第一時間通知全體員工，不但容易造成恐慌，也未必能真正協助漏洞修補。
• 結論：
  • 「馬上通知所有員工」不是處理此問題的首要步驟，更何況漏洞資訊的細節往往屬於敏感內容，需要在專業團隊與管理層釐清後再決定溝通對象與方式。

(C) 聯繫滲透測試者進行進一步的詳情討論

• 說明：
  • 當測試者發現並通報嚴重漏洞時，通常他們會提供一個初步報告，告知漏洞種類與危害，但未必細到「確切如何利用」或「所有可用的攻擊路徑」。
  • 第一步通常是與測試者再度聯繫、取得完整資訊，包含：
    1. 漏洞可被利用的具體條件與範圍
    2. 攻擊流程或 PoC（Proof of Concept）
    3. 影響層面（是否能提權？能存取哪些資源？）
    4. 修補建議
  • 在掌握更多細節後，才能評估是否立刻下架服務、或加強特定防禦措施，並盡快修補。
• 結論：
  • 「先和滲透測試者進一步討論」是大多數資安事件回報後的第一步，以便確認事實並制定後續的處置計畫。

(D) 通報網路安全當局

• 說明：
  • 在某些國家或組織，有針對「重大資安事件」或「可能涉及個資洩漏」的通報義務。例如金管會要求金融業若出現重大資安事件須立即通報主管機關等。
  • 然而此題目強調「內部封閉測試期間」，且目前只是接獲測試者通報一個尚未被外部利用的漏洞，並不等同真正的攻擊事件或外洩事件。
  • 是否「通報主管機關或資安單位」取決於組織的政策、法律規範及實際損害評估。通常需要先進行內部研判與漏洞確認，再決定是否符合通報要件。
• 結論：
  • 此時尚未到必須對外通報的時機，先在公司內部妥善處置與評估才是關鍵。

總結

面對重大漏洞的第一步，並不是立刻關閉系統、廣發通知或通報外部，而是要先向發現漏洞的滲透測試者瞭解更詳細的資訊，掌握漏洞成因、利用方式、影響範圍，以便快速擬定修補和風險管控計畫。因此，(C)「聯繫滲透測試者進行進一步詳情討論」才是最合理、最常見的優先應對。