iThome
面對包括傀儡網路、網路釣魚、DDoS(分散式阻斷式攻擊)帶來的資安威脅,對於日本電信業者資深CSIRT傳教士杉浦芳樹(Yoshiki Sugiura),也是日本CSIRT協會(Nippon CSIRT Association,NAC)營運委員而言,成立一個電信業者專屬的電腦資安事件應變團隊(CSIRT)不僅合理,更有助於解決越來越複雜的各種資安威脅。
杉浦芳樹表示,該電信業者從2004年開始自行建置CSIRT團隊,在提供的功能服務和角色扮演上,則同時兼具資安分析、事件回應、教育訓練以及資安事件的研究發展及處理等。更重要的是,他也指出,當資安事件從發生到結束的這段期間內,因為電信業者有各式各樣的資安設備,也會收集到各式各樣的資料與登錄檔等,CSIRT團隊更可以適時的提供各種所需資源,甚至於包括各種資安預警、災害控管技術支援與資料分析等服務。
電信業者CSIRT規模大,必須成為備受信任的組織才有助解決問題
杉浦芳樹指出,該電信業者轄下其實有其他大大小小不等的公司組織,初步估計有大約九百個集團公司,光是電信業者的CSIRT成員,就有五十人之譜。他認為,五十人規模的CSIRT人數並不多,而因為公司組織規模夠大,一般情況下,IT部門下都會有編列資安相關的預算。
杉浦芳樹表示,該電信業者建置的CSIRT並沒有所謂的標準定義,通常只要可以滿足四種規範與要求,該CSIRT提供的服務,都可以被大家所認可。
「第一個基本規範與要求,當然就是要有能力去處理資安事件,」他表示,因為CSIRT團隊可以收集到各式各樣的資安相關的問題。並可以對此作進一步的資訊分析、調查研究,甚至可以將該資安事件轉交給該企業中,更適當的處理單位或個人,也有能力提供相關的技術支援和應對的方法。
再者,具備協同作業的能力。杉浦芳樹認為,很多時候,資安事件不是單一部門或個人可以解決時,涉及多種角色介入,CSIRT就得要可以和企業外部專家及內部使用者,彼此交換所需要的各種資安相關的資訊,以利於CSIRT團隊可以協助解決該資安事件。
第三點要求則是,有能力界定受駭對象和範圍,他指出,尤其事態緊急的時候,清楚定義出受駭者,可以有效解決資安事件。
最後一點,杉浦芳樹強調,要成為一個「備受信任」的聯繫窗口(Point of Contact,PoC),尤其當CSIRT團隊必須協助處理各種資安事件時,很多時候都是在保密的狀態下進行相關資安事件的調查,處理事件過程小心謹慎,回報資安事件的當事人,也必須要能夠盡可能冷靜的提供相關資安事件的資訊。
加入國際資安分享及應變組織,強化資安事件處理能力
杉浦芳樹表示,每一天要處理的各式各樣資安事件而言,只有單純CSIRT角色所提供的資安情資,有些時候,已經不足以應付越來越複雜的資安事件。因此,該電信業CSIRT後來也加入國際性的資安分享及應變中心FIRST組織,希望透過更國際性、全面性的情資分享,也可以強化該電信公司CSIRT解決資安問題的能力。
杉浦芳樹也指出,日本有越來越多大企業都自建CSIRT團隊,而這些CSIRT團隊為了獲得更多的資安情資交流,多數都會同時加入JPCERT/CC的情資分享網路平臺,以及針對日本CSIRT成立的非政府組織Nippon CSIRT Association(NCA),進一步連結日本大企業負責資安事件處理的社群人脈網路和情資分享網絡。
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-18
2024-04-15
2024-04-15