近期臺灣與歐洲交流熱烈,臺灣資安大會今年呼應這股國際趨勢,特地邀請盧森堡網路安全能力中心(National Cybersecurity Competence Center,NC3)專家親自到場演講,闡述他們最新發展的資安計畫,如何幫助該國的中小企業,特別的是,我們也趁此機會了解NC3在盧森堡與歐盟的定位,並認識到歐盟的網路安全政策,以及這些規範如何進一步落實到各成員國。
打造情蒐平臺並建構風險模型,聚焦讓威脅資訊可容易理解
NC3本身是隸屬於盧森堡經濟部所資助的機構盧森堡資安之家(Luxembourg House of Cybersecurity,LHC),任職於NC3、負責資安威脅觀測平臺的計畫主持人Carmelo Dimauro表示,他們的使命,主要是針對資源有限的中小型企業,協助其增強預防風險的能力,促使這些組織在網路安全領域,變得更有韌性。
這個資安觀測平臺如何運作?Carmelo表示,該平臺全名為Threat Observatory Platform,主要目的是蒐集資訊,並試圖將這些技術導向的資訊,轉化為每個人都容易理解、運用的形式,供盧森堡的中小企業使用,因這類公司普遍無足夠能力制定積極的戰略,而不易實現網路安全,所以他們從這些組織的角度出發,設法提供網路安全威脅資訊。
為了實現此一目標,Carmelo 提到要有兩個關鍵配合,首先是平臺背後所使用的2大工具,另一重點是他們開發了非常簡單、易懂的風險模型,使不熟悉這些資訊的人都可以理解。
其中一套工具,是開放原始碼軟體的威脅情資平臺,名為MISP Threat Sharing,可蒐集並分享網路威脅和風險的指標;另一個工具是處理可疑郵件的SPAMBEE,專門用於蒐集垃圾與釣魚郵件的數據,之後再分析這些資訊。
以分析層面來看,涉及上述風險模型,涵蓋威脅、漏洞、受害、後果等4大部分。
具體來說,他們開發的這套風險模型首先有兩個構面:一是危害與威脅的面向,描述構成攻擊過程的要素,包含威脅者、攻擊手段、管道等;另一是受害的面向,描述可能導致影響過程的特徵要素,包含內部管道、目標、衝擊。
而兩個構面之間的連接點,稱之為存取點,而這個點就是我們所熟悉的資安漏洞,包含弱點、後門等,使攻擊者能滲透到受害者環境當中。
最後還有後果的構面,更重要。Carmelo強調,因為我們常常要跟所有人解釋發生的事故,由於這部分涵蓋網路攻擊對發動此行為者的收益,包括獲取金錢,竊取重要資料,以及受害者損失金錢與聲譽,若盡可能掌握這些資訊,將有助於受害者理解並提高意識。
畢竟,每次網路攻擊的背後,總是存在所謂的策略、目標、目的。如果一般人能明白這些,將可更容易理解為何自己受到攻擊、為何自己「易」受攻擊,以及從攻擊者來看、何以自己是有價值的。
整體而言,這個平臺就像個功能更強大的威脅情資工具,因為他們會利用威脅情報的結果,並透過這樣的模型與框架做到關聯對應,並根據其他已知的資訊來交叉比對。另外,由於這些資訊的內容組成屬於非結構化的資料形式,因此他們也運用自然語言處理技術,來檢測資訊的價值,根據模型對資訊進行分類,並標示重要的部分。基本上,他們就是透過這樣的方式,將資訊解構為可理解的內容,並公開發布。
當然,盧森堡網路安全能力中心不僅僅給予觀測平臺所提供的資訊,也提供教育計畫與培訓項目,教導企業人員認識其重要性,以及如何理解與使用。
關於此計畫的發展經過,Carmelo Dimauro提到他們兩年前開始思考這項計畫,成員共有4個人,一開始花了許多時間思考他們想要做什麼,同時也針對中小企業需求的調查,以及供應商能力的調查,進一步完成系統建設、平臺營運,以及定期分析。
在盧森堡NC3資安威脅觀測平臺計畫之下,之所以能分析蒐集到的資訊,關鍵是他們設計的風險模型,當中涵蓋威脅與受害者的構面,而介於這兩者之間的存取點(Point of Access)能幫助理解為何受攻擊,最後的結果(Consequence)也能突顯攻擊者收益與受害者損失。特別的是,Carmelo Dimauro也說明了該風險模型與開源威脅情資平臺MISP,以及MITRE ATT&CK框架的對應項目。
Carmelo Dimauro展示了觀測平臺的整體架構,說明他們是如何蒐集資訊與分析資訊,最後將簡化易理解的資訊提供給外界。
在盧森堡網路安全能力中心(National Cybersecurity Competence Center,NC3)所建構的Threat Observatory Platform平臺中,也會發布季度報告呈現趨勢變化。
支援歐洲網路安全創新與產業政策,ECCC是重要關鍵
向參加臺灣資安大會的人們介紹NC3的觀測平臺計畫之餘,我們也趁Carmelo Dimauro這次來臺,詢問盧森堡NC3與歐盟之間的關聯。因為,大家過去可能從資安新聞了解歐盟頒布許多網路安全政策,以及歐盟本身設有網路安全機構(ENISA)這類機構,但大家還是很好奇歐盟有哪些資安推動方式?
對此,Carmelo表示,歐盟是一個共同體,在歐盟執委會的帶領下,制定歐盟的法規,提供一些政策與標準,每個成員國都必須實施這些政策。
以網路安全層面而言,為了確保歐盟成員國都實施相同的戰略,因此需要有跨境合作,或是至少需要協調。從國家層面來看,歐盟建立歐洲網路安全能力中心(European Cybersecurity Competence Centre,ECCC),此一執行機構位於羅馬尼亞的首都布加勒斯特,目標是提高歐洲的網路安全能力與競爭力,並在27個成員國設置國家協調中心(National Coordination Centre,NCC)。特別的是,去年2022年,盧森堡接任ECCC主席國,並由盧森堡資安之家創辦人兼執行長Pascal Steichen擔任主席。
在這樣的運作架構之下,主要透過ECCC與國家協調中心(NCC)的密切合作,形成支持網路安全創新和產業政策的新框架,以確保整體策略的發展,同時也監控歐盟成員每個國家的實施情況。
Carmelo表示,以盧森堡NC3而言,除了本身推動的多項計畫與任務,他們也被指定,扮演國家協調中心的角色,因此負責了相關工作。
例如,對於來自執行歐盟執委會的法規,NC3將確保該法規在盧森堡的有效實施,也會從ECCC獲得預算,以支援當地生態系統發展。
當然,所有歐盟成員國在此方面都擁有相同的結構、政策與活動,不論是比利時網路安全中心(CCB)、義大利國家網路安全局(ACN)、荷蘭企業署(RVO)、法國國家資訊系統安全署(ANSSI)、西班牙國家網路安全研究所(INCIBE)等,也都是被指定為ECCC體系之下的國家協調中心。
Carmelo強調,這麼做的目標是為了增加資安韌性,不僅是單一國家的韌性,而是歐洲共同體的韌性。當然,每個國家在資安政策的規畫與執行上,還是可以自行決定是否要做到更多。
至於像是ENISA這樣的歐盟資安單位,Carmelo Dimauro表示,這是一個技術導向程度更高的機構。例如,他們會研究更安全的資訊系統,監測網路威脅與技術的發展,幫助偵測與回應資安問題等。
回到盧森堡本身來看,在國家網路安全防禦上,若以盧森堡網路攻擊防禦與網路安全跨部會協調委員會而言,可分成兩個面向來看,一是針對公部門方面有GOVCERT.lu,另一是針對私部門,目前LHC下有兩機構——除了上述的NC3,還有盧森堡電腦緊急應變中心(CIRCL)。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-25
2024-11-22
2024-11-24