資安院副院長兼發言人吳啟文表示,資安院從今年元旦接手TWCERT/CC業務後,第一時間便將資安事件通報應變的時間,從原本只有上班時間有人即時處理資安事件通報,改成全天候都值班人員可以處理通報事件。

圖片來源: 

iThome

國家資通安全研究院(簡稱資安院)於今年元旦,正式接手TWCERT/CC的業務,資安院副院長兼發言人吳啟文表示,資安院原先已經承接原技服中心,針對《資安法》列管的政府機關和關鍵基礎設施的資安通報,以及應變作業,自接手TWCERT/CC業務後,所有不是《資安法》納管的非公務機關,都可以依循原有TWCERT/CC資安事件通報管道通報資安事件。

但通報的時間,吳啟文說,雖然原先可以透過電子郵件,隨時通報資安事件,但上班時間才有員工立刻處理,在相關處理時效上還不夠即時;但資安院接手TWCERT/CC後,因為資安院原先就有24小時值班的SOC(資安監控中心),可以同步接手TWCERT/CC民間企業下班時間後所發生的資安事件通報作業,做到全天候的即時通報,處理時效可以大幅提升。

吳啟文指出,剛開始接手TWCERT/CC業務的最高原則,就是要做到「服務不中斷、品質再提升」,除了要維持原有系統的穩定,也會盤點和觀察如何進一步優化既有系統。

不過,他也坦言,因為非公務機關的資安事件通報沒有法源依據,因此現階段的資安事件通報並不具強制力,所以,即便不受《資安法》納管的非公務機關(民間企業)可做到全天候都能通報資安事件,但要真正做到實質提升非公務機關協處資安事件能力,仍是未來要繼續努力的目標。

TWCERT/CC關鍵在於協調,不妨礙依需求成立不同的CERT

TWCERT/CC全名是臺灣電腦網路危機處理暨協調中心(Taiwan Computer Emergency Response Team / Coordination Center),最早於1998年9月在中山大學成立,2000年1月由臺灣網路資訊中心(TWNIC)接手維運;國家中山科學研究院則在2014年8月承接TWCERT/CC相關業務;臺灣網路資訊中心(TWNIC)於2019年1月二度接手相關的維運服務;資安院則在數位部希望能夠統籌重要資安業務的指導下,2024年1月接手TWCERT/CC的營運業務。

TWCERT/CC服務範疇包括:情資交流、事件應變、國際合作和意識提升,關鍵字就是協調(Coordination),而CERT/CC是全球性的組織,每個國家都只會有一個協調中心(CERT/CC)的存在,負責和其他國際資安組織互動、協調與進行情資分享等業務,但各國仍會依據需求,設立其他不同性質的CERT。

舉例而言,負責政府機關資安事件應變處理的TWNCERT(國家電腦事件處理中心)原先由技服中心承接,現在業務已經轉移到資安院之後,則不具備協調中心的CC功能,但因為該單位主要負責政府和關鍵基礎設施的資安事件緊急通報,以及應變處理,便成立TWNCERT處理相關事宜。

另外,國家通訊傳播委員會(NCC)成立的NCC-CERT,負責強化通傳事業辦理資安事件通報應變的組織,現在正式名稱為「國家通訊暨網際安全中心(National Communications and Cyber Security Center,NCCSC)」,也建置網路運作管理平臺(C-NOC)、資安監控平臺(C-SOC)、資安通報應變平臺(C-CERT)及資訊分析與分享平臺(C-ISAC),再以自動化銜接方式將該等平臺納入NCCSC,以整體掌握及處理通傳事業設施障礙及資安事件。

民間企業通報資安事件,TWCERT/CC扮演第二線角色

資安院承接前技服中心處理公務機關的資安事件通報應變處理的業務,多年下來,已經累積相當豐富的經驗,不管是從事前偵測、事中鑑識以及事後分析,都已經具備完整的技術量能。

吳啟文表示,資安院新承接的TWCERT/CC業務,則是將既有的服務範圍,從原本的公務機關與關鍵基礎設施,進一步擴展到民間企業的資安事件通報,而對於TWCERT/CC而言,有些原本的業務將與資安院業務銜接,並視業務量能增聘人員,民間資安事件通報協處的部分,也會新增一個事件協調組負責。

此時,TWCERT/CC便可以扮演公務機關與民間企業的橋樑,從公務機關供應鏈攻擊的資安事件過程中,主動掌握民間企業受駭的事證;相對地,也可以從協助民間企業進行資安事件應處和分析的過程中,將所掌握的資安情資,回饋到公務機關的資安平臺上,作為資安事件的偵測和防護之用。他認為,透過這種公私協力的合作方式,也可以強化雙邊資安防護能力。

但吳啟文強調,資安院是數位發展部所屬的行政法人,所有的預算都來自政府,也承接政府的專案,為了避免與民爭利,受駭企業除了向警調機關報案,也可以同時向TWCERT/CC通報資安事件,但過程中TWCERT/CC不會在第一線直接協助受駭企業,進行相關的資安鑑識或事件分析,這部分工作仍由一般民間資安公司協助處理。

以技術專業協助企業判別不良資安廠商

但他說,TWCERT/CC還是會以技術輔導的專業角度,扮演第二線支援的角色,協助受駭企業判斷,確認與其合作的資安公司是否已找到被入侵的根因,另一方面,也可以協助受駭企業評估,了解資安公司建議的應變措施是否切實有效等等。

吳啟文強調,許多企業發生資安事件時,除非原先就有配合的資安業者,不然,在面對、處理資安事件的當下,經常是心慌意亂、不知所措,這時候就可能會遇到許多「資安蟑螂」。

他表示,這些資安蟑螂可能是低價搶生意,卻無法提供真正的資安鑑識與資安分析等服務;也可能價格看似合理,但提供的資安服務並不到位,並無法協助企業找出入侵的根因,甚至連建議的因應措施都流於片面,不適用該受駭企業。

因此,吳啟文認為,此時TWCERT/CC扮演的第二線支援角色,就可以從技術專業的角度,協助受駭企業檢視,了解資安廠商提供的資安鑑識報告內容是否完整,也可以幫忙評估,確認資安廠商建議的因應措施是否切實、可行等等。

在此同時,他說,TWCERT/CC會以綜整分析的角度,掌握該起企業受駭資安事件的處理情形,並蒐集相關的重要跡證,例如惡意程式樣本或是IoC(Indicators of Compromise,入侵威脅指標)等,並能分析各個跡證之間的關聯性,判斷該起資安事件是否有針對特定對象或使用特定的攻擊手法的趨勢,若有,就可以將相關的分析結果進一步轉換成資安情資,公告周知,甚至可以進一步提供該攻擊手法的資安預警。

TWCERT/CC知名度不足是最大挑戰

吳啟文表示,接手TWCERT/CC時,已針對他們的網站、資安情資分享的TW-ISAC,以及提供惡意程式檢測服務的Virus Check等三套對外提供服務的系統,完成內部檢測、移交以及持續維運的動作;至於內部系統包括:電子報服務系統、情資分享平臺的工單系統,和查詢網域和IP的Whois查詢平臺,在完成移交後,也進行相關的檢測與盤點。

他說,資安院檢視TWCERT/CC內外部的系統,也已經規畫TW-ISAC及Virus Check的升級改版進度,其中,針對惡意程式檢測的Virus Check平臺,由於自建沙箱檢測機制,可藉此掌握民間企業組織的受駭趨勢。

資安院原本在協助政府和關鍵基礎設施資安事件通報應處時,也難免遇到一些個資外洩的事件,當接手TWCERT/CC業務並將通報範疇擴及民間企業時,吳啟文表示,TWCERT/CC雖然不提供第一線服務,但會依據國發會「防止非公務機關個資外洩精進措施」,訂定非公務機關個資相關系統防護參考基準,作為針對個資外洩的強化技術面的檢查參考依據。

由於CERT/CC是全球性的組織,所以,吳啟文表示,TWCERT/CC的重要任務之一就是參與國際資安組織的活動,掌握全球資安最新發展趨勢,維持並擴展資安情資的交流管道,接軌國際資安資訊共享與分析交流平臺,加強國內資安事件通報應變作業。

例如,資安業界熟知的CVE漏洞編號,是由美國非營利組織MITRE負責維運,但這個漏洞編號除了MITRE可以制定,MITRE也授權一些國家級CERT或企業,可以指派相關的CVE漏洞編號,TWCERT/CC則是MITRE授權的CNA(CVE numbering authority)成員。

吳啟文指出,持續針對臺灣ICT產品的漏洞,提供可信賴的漏洞通報管道,並繼續維持CVE漏洞發布品質為最高品質Provider等級,也是TWCERT/CC未來繼續努力的目標。

然而,他也提到,目前TWCERT/CC最大的挑戰在於知名度不足。無論資安事件通報應變協處或漏洞通報等等,對多數民間企業甚至一般民眾而言,TWCERT/CC相對缺乏公信力,以及互信程度。

因此,他說,未來TWCERT/CC將善用資安院長期對公務機關的資安防護經驗,協同金管會、證交所等單位擴大舉辦資安推廣活動,也提供資安教育訓練,提升企業聯盟會員的資安防護意識,並且透過交流活動,吸引更多企業加入及合作。

從TWCERT/CC首頁就可以透過簡易的資安事件通報平臺,以電子郵件的方式進行資安事件通報,不過,從今年元旦後,24小時都有人值班即時處理所通報的資安事件。

 

 
 
 
 
 
 
 

熱門新聞

Advertisement