【從「PTT護國神文」學防駭】要能及早掌握情資，才有機會超前部署與即時應變

武漢肺炎全球大流行，臺灣能在世界各國對疫情都還沒反應過來時，先行提高警覺，關鍵就是情資的掌握與判讀，而獲得全臺民眾關注的，自然就是被譽為PTT護國神文的一篇文章。

在2019年12月31日凌晨兩點多，一篇八卦版的文章吸引不少人注意，這是PTT鄉民「nomorepipe」發布，標題為：「〔問卦〕武漢疑爆發非典型肺炎冠狀病毒群聚感染？」

引發熱烈討論的原因，當中提及出現類SARS個案，發文者不僅找出中國官方的公告，透露有不明原因肺炎群聚感染，並附上李文亮醫師在即時通訊對話的截圖，以及檢驗報告等內容。有網友就在半夜留言表示，「想到和平醫院」，甚至有網友預告「照理中共會封鎖消息，然後病情失控傳到國外」。

當然，更關鍵的是，這樣的資訊被臺灣的防疫專業人員注意到，並且研判相當重要。包括疾管署的防疫醫師，以及疾病管制署副署長羅一鈞，剛好在凌晨瀏覽這樣的資訊，他並在完成初步查證後轉發到署內群組，這才有了後續持續關注與啟動緊急應變。

例如，疾病管制署在去年12月31日，曾寄信通知世界衛生組織（WHO）；在今年1月7日，他們將武漢市國際旅遊疫情建議等級列為第一級；後續又因泰國、日本、韓國等鄰近國家接連出現自武漢移入的確診個案，他們研判中國大陸疫情已有明顯社區傳播及疫情擴大情形。於是，疾病管制署在1月20宣布，成立「嚴重特殊傳染性肺炎中央流行疫情指揮中心」，以及推出各式防疫應變計畫。

防疫情資就是及早應變重要關鍵，企業同樣不可等閒視之

及早掌握情資的重要性，已經不言而喻，勤業眾信風險諮詢服務執行副總經理林彥良指出，對於企業而言，情資管理就是重點，首要動作，是要盤點資源與認識企業風險，才能知道這個事情跟自己是否有關。  （攝影／洪政偉）

在這次臺灣的防疫經驗中，情資重不重要？答案很肯定，否則我們的防疫工作可能就無法如此順利，反觀其他國家，等到他們出現大量本土感染案例，才開始因應，結果就是，他們必須付出更大的代價。

情資的重要性，已經體現於很多領域，如同電腦遊戲上的LOL插眼（英雄聯盟一種拓展視野的技巧），而在資安領域也是如此。這次我們詢問不少資安專家，他們也提出與防疫相關觀察與意見，希望讓企業能夠更重視情資的重要性。

例如，TeamT5杜浦數位安全執行長蔡松廷舉出一例，那就是2017年5月爆發的勒索蠕蟲WannaCry事件，這個勒索病毒在短短一個週末的時間，就讓全球數十萬臺電腦被攻擊，而它的主要的入侵方式，是透過SMB 1.0（SMBv1）的漏洞主動擴散。

不過，WannaCry所利用的漏洞，其實微軟在兩個月前，也就在3月14日就已發布資訊安全公告MS17-010，當中提及相關的漏洞，並且同步發布了修補程式。

同樣的道理，對於能夠及早修補的企業與用戶來說，能夠掌握這類關於漏洞的資安訊息情資，就能夠先做出因應。

雖然，從現實面來看，企業總是後知後覺的狀況居多，不過，早一步得知剛發生的攻擊活動的情資，瞭解惡意程式攻擊途徑與管道，因此，在受到攻擊之前，其實還是有很多機會，我們可以超前部署、盡早因應與加快應對。最害怕的是，企業一直都不知不覺。

但這也不由得讓我們反思，以IT領域而言，對於這類漏洞資訊的基本資安情資，雖然有些企業都會重視，但還是有不少情況，例如，明明是高風險或嚴重等級的漏洞，系統設備業者已經發布修補更新，發現漏洞的資安研究人員在此後也對外揭露，卻有部分企業仍然不知道要修補，而且這是上市大企業都存在的狀況。

顯然，部分企業對於這些資訊的掌握，並不到位，使得後續又有資安業者或是CERT組織發出警示，指出已偵測到攻擊活動，或是傳出Exploit（攻擊程式）已經出現；又或是有通報者在漏洞通報平臺，通報企業存在設備漏洞未修補的狀況。

PTT護國神文的出現，引起政府的關切，之後也啟動一連串確認及應變措施，這當中，更重要的一個關鍵，大家可能容易忽略的是，那就是對於情資判讀的重要性。

及早拿到情資之餘，要能正確判讀更重要

根據羅一鈞在4月16日每日記者會上的說明，當時他看到這篇後來被稱為PTT護國神文的內容，注意到一般爆料不同的狀況，包括提到華南海鮮市場有確診7例SARS，引發關注，而他也追查截圖中的原始檢驗報告，瞭解可能是致病性高的病原體，並從照片概況研判是當地醫療人員內部討論群組流出，具有某種可信度，加上追查外流訊息時，發現有醫護互相提醒的狀況，擔心院內醫護人員相互感染，因此，他趕緊將這樣的訊息提供到衛生署內的Line群組，才有後續的防疫動作。當然，也是因為有過SARS的經歷，才更能夠將這些情資串在一起。

這樣的過程看似簡單，但戴夫寇爾執行長兼共同創辦人翁浩正提醒的是，在資安領域，情資的複雜性更高。例如，對於高傳染性生物，我們通常要知道的是什麼病毒、細菌，以及傳染方式與症狀，但在資安上，除了掌握惡意程式、勒索病毒，要能知道它的攻擊行為與途徑，但也有更複雜的，像是針對駭客組織的情資又不同，需要掌握攻擊者是誰，採取的攻擊戰術流程（Tactics、Techniques與Procedures，TTP），而這類情資的價值也比較高。

這主要也是跟威脅的屬性差異有關。同是看不見的病毒，但防疫面對的病毒、細菌多半是自然演變而來，資安防駭面對的威脅則都是人為製造，因此很難用一成不變的方式去防禦。而一般資安圈所談的威脅情資，大多也都更聚焦在APT防護。

對於已經重視情資的企業或組織而言，下一步該注意的挑戰又是甚麼？

要像這次防疫經驗，能夠如此快速判讀威脅態勢，資安情資管理就是不可或缺的一環。要知道的是，關於前述的漏洞資訊，只能算是一種基本的資安資訊，還有像是網頁攻擊情資、入侵攻擊情資（垃圾郵件、中繼站、殭屍電腦、C&C等），還有更高層面的威脅情資，將會涵蓋到攻擊者身分，採取的攻擊戰術流程（TTP），以及相關攻擊事件，不同產業屬性等。

這次我們訪問的不少資安專家，其實都提到了情資判讀與分析的重要性。對此，勤業眾信風險諮詢服務執行副總經理林彥良表示，企業必須重視威脅情資的管理，像是PTT八卦版上的雜訊很多，當防疫人員看到時，也要有夠多資訊能夠關連、串在一起。

不僅是資安情資，對於資安新聞與事件也是如此，不論當事人或旁觀者，有些人看到這些資訊會有感覺，但有人看到同樣的資訊卻沒感覺，這就會影響後續使否採取行動的速度。其實，大家多半都能瞭解情資的重要性，但有些情資，是會引發注意但無法做出關連，又或者是，能注意、關連，卻不一定知道該如何處理，這是企業在關注情資時，也要能注意的面向。

像是有國際駭客鎖定全球金融業，瞄準國際匯款系統SWIFT，當其他國家銀行遇害，臺灣金融業是否能夠及早吸取相關情資與經驗。

由於威脅情資面向涵蓋非常廣，對此，勤業眾信風險資訊服務協理陳威棋指出，這是管理的議題，因為情資也有分等級，還要能識別情資的重要性，一開始就要知道企業有哪些風險，才能進一步知道要蒐集那些威脅情資。對此，林彥良也用NIST CSF網路安全框架來說明，他說，一開始就提到要建立企業本身的輪廓（Profiles），才能知道自己面臨的風險。

舉例來說，我們會盤點公司使用的資訊設備，甚至系統元件，如此一來，才能知道那些漏洞資訊自己需要注意，或是瞭解公司旗下有哪些產業，才能知道應關注那些領域的威脅情資。

無論如何，企業在做資安工作時，除了基本的資安防護，情資也是一大關心重點。但其實，威脅情資在資安領域也是很大的一個議題，而網路威脅情報（Cyber Threat Intelligence，CTI），以及建立威脅情報平臺（Threat Intelligence Platform，TIP）的概念，也早已成形。不過，從防疫經驗來看，我們至少要知道的是，及早掌握資訊的重要性，即便後知後覺也比不知不覺要好，而情資的判讀也很重要。

對於普遍企業而言，掌握一般資安情資資訊，是應該要盡力做到的基本功，無法達到這樣要求的企業需自我檢討，而就中大型企業，以及關鍵基礎建設而言，所要重視的威脅情資範圍將會更為廣泛，特別是在APT攻擊方面。

 更多相關報導  從防疫學防駭