近年資安事件持續衝擊國內企業,持續做好防護與監控之餘,具備充分的事件應變能力也很重要,而且這並不只是個別公司的問題,同時也需更多企業與組織一起合作,彼此交換威脅情報與應變作為,而在推動全球資安應變協同合作的領域當中,國際資安事件緊急應變小組論壇(FIRST)扮演關鍵角色,而參與成員數量的增長,也反映大家對於資安的重視程度。
以臺灣而言,前幾年我們開始關注這方面的發展新態勢,發現已有少數資安與IT廠商相繼加入,到了2022年群創光電加入FIRST,更是開創國內電子製造業首例。
而在過去一年來,我們也察覺兩個重要的變化。首先,有越多企業與組織加入FIRST,數量從原本的12個增至17個,其次,在新進5家成員中,高科技及電子製造業就有3家,包括台積電、廣達、日月光,這些業界龍頭大廠的加入,似乎也反映著,近年臺灣高科技與電子製造業對資安的重視,比以往又再提升。
臺灣FIRST成員數量已達17個,過去一年新增5個
FIRST全名Forum of Incident Response and Security Team,存在目的主要是協助國際資安事故應變,提供威脅情資與各式資安事件調查技術的資訊,目前資安界普遍熟知的CVSS漏洞評分標準,也是由FIRST進一步研究發展與改善,例如,在兩個月前,他們新發布CVSS 4.0版,提供更細致的評分指標設計之餘,也增加漏洞評估的補充指標。
截至今年1月12日為止,根據FIRST網站公布的成員列表,全球現在已經有多達106個國家、710個資安應變團隊加入,這些成員來自多個領域,包括政府、學術單位、企業,以及資安業者。
論及FIRST成員所在的國家地區,美國最多(109個),其次為西班牙(55個)、日本(44個)、德國(38個)、法國(24個)、挪威(23個),以及英國(22個)、瑞士(22個)與哥倫比亞(22個)。
臺灣現有FIRST成員已有17個,尤其2023年有明顯暴增的趨勢,而這群共同鞏固臺灣整體資安的重要生力軍,包括:2月台積電TSMC-CIRC、微智安聯ShieldX PSIRT加入,3月是廣達QUANTA-CSIRT,8月是杜浦數位安全TeamT5 CSIRT,以及11月是日月光集團ASEKH_CSIRT。
這當中有兩家資安業者,3家高科技及電子製造業,而且都是全球知名的業界龍頭,包括晶圓代工的台積電,伺服器與筆電代工的廣達,以及IC封測代工的日月光集團。
在國際資安事件緊急應變小組論壇(FIRST)的成員中,截至今年1月12日止,全球總計有106國、709個資安應變團隊加入,美國成員數量最多,有109個,其次為西班牙,有55個,以及日本的44個。我們可從圖中綠色深淺看出數量差異,顏色越深、數量越多。
可獲得國際認可,資安形象提升,廠商聯繫擴展的優勢
加入FIRST的廠商與企業增加,對臺灣資安有何意義?
對此,我們先找到台灣網路資訊中心(TWNIC)組長林志鴻,請他談談對FIRST發展的觀察。事實上,TWCERT/CC從2001年就加入FIRST,最近幾年這一組應變團隊是TWNIC負責維運,2024年轉由國家資通安全研究院(資安院)接手維運。
關於過去一年有臺灣更多業界龍頭加入FIRST,林志鴻表示,顯然這些公司已體認到供應鏈資安的重要性,而加入國際的重要資安組織,對於企業的品牌、知名度,甚至客戶關係,也都會有加分的效果。
畢竟,隨著很多具有影響力的企業、組織、廠商加入FIRST,在在顯現世界各國對這方面的重視,再加上現在科技大廠的思維已經改變:過去重視Cost,現在則強調Trust。而這些因素的存在,成為我國各產業發展需考量的關鍵。
另一個更多企業願意加入的原因,不只是能因此取得第一手的情資,以及有相關教育訓練與研討會可以參加,還有一個更重要的原因,那就是:在FIRST組織的場合或活動,有許多國際上下游廠商出席,因此客戶與供應商聯繫更方便,或是利於開拓其他市場,也讓客戶可以更容易找到自己。
林志鴻指出,若要成為FIRST成員,其實企業本身需跨越一定門檻,並非填申請單、繳錢即可取得資格。
他解釋,從申請條件來看,加入FIRST,要有兩個成員的推薦,這是第一關。例如,我們從當前FIRST官方網站公布的資訊可以看到,台積電的加入,是透過奧義智慧的CCCSIRT、趨勢科技的TM-CSIRT推薦;廣達的加入,是透過群創的INX-CSIRT與安華聯網的Onward CSC推薦;還有微智安聯與杜浦數位安全(TeamT5)的加入,兩者均是透過TWCERT/CC與安華聯網的Onward CSC推薦。
接著,FIRST還會要求實地訪視提出申請的企業,並藉由許多問項來進行評估,以了解申請方的內部資安流程、政策、人員等方面的程度,需進行評估、被認為符合資格才能夠加入。他也透露,國內現在還有其他電腦周邊設備大廠,正在申請加入FIRST。
整體而言,簡單來說,首先需要兩位FIRST會員推薦,接著進行Security Incident Management Maturity Model自評,再來是主要推薦者進行實地訪視,撰寫並遞交推薦報告給FIRST,最後是FIRST審查。
對於FIRST,我們找上2023年下半加入的杜浦數位安全,邀請創辦人暨執行長蔡松廷從資安業者角度提出觀察。
他表示,FIRST是個促進企業資安應變團隊交流的組織,可聚焦討論資安事件規畫應變相關的議題,在這組織當中,雖然看到不少資安業者參與,但其實這些廠商並非主要成員,國家級應變機構與企業才是!從製造業角度來看,大家可在此交流應變處理經驗與技術,更容易可以找到外部資源來合作,這些好處都是誘因。
既然如此TeamT5為何加入?蔡松廷表示,他們常發現很多分散在世界各地的受害者,無從向他們進行通報,因此希望透過加入FIRST,能夠幫助更多企業更快知道資安事件。
而且資安業者加入FIRST仍有不少好處,其中之一,當然是有助於品牌行銷,但蔡松廷表示,他們也看重與世界各地的企業資安團隊交流,了解他們的想法、運作和準備,TeamT5曾處理很多資安事件的應變,對於這方面的研究與經驗也不少,透過FIRST這樣的共同合作平臺,可以更容易與全球資安界的專家分享與交流。
新版漏洞評分標準CVSS 4.0登場
國際資安應變組織FIRST在2023年11月,針對普遍使用的漏洞風險評分系統(CVSS),推出4.0版,這是2019年6月CVSS 3.1版推出後,時隔4年的重大改版。
為了更好傳達軟體漏洞的特徵和嚴重性,新版對於嚴重性的分數呈現,有更精細的設計與改進,最明顯的變化就是,不只是基本分數的CVSS-B,還有基本評分加上威脅的評分CVSS-BT,基本加上環境的評分CVSS-BE,以及基本加上威脅、環境的評分CVSS-BTE。
同時,新版還增加幾項不影響評分的外在屬性標籤,例如:安全性、可自動化(可蠕蟲化)、恢復、價值密度(Value Density)、漏洞回應的努力,以及供應商急迫性等。另外,也對OT、ICS、IoT類型的系統,提供額外評估指標。
熱門新聞
2024-12-10
2024-11-29
2024-12-10
2024-12-11
2024-12-10
2024-12-08