重塑對企業資安聯防的溝通模式，TWCERT/CC將逐步從傳統事件通報提升到關鍵情資共享

為了提升臺灣民間企業的資安能力，不僅依賴個資法對全體企業的規範，以及金管會對上市櫃公司提出的各項要求，政府在協助企業提升資安能力方面，台灣電腦網路危機處理暨協調中心（TWCERT/CC）扮演著重要角色。

隨著2024年元旦資通安全研究院（資安院）接手TWCERT/CC，各界都關心他們後續如何進一步協助民間企業。4月他們公布發展計畫，預告將持續推廣共同參與，拉攏更多企業加入TWCERT/CC免費會員，時隔超過半年的此刻，資安院在2024台灣資安通報應變年會，揭露目前最新相關進展。

其中TWCERT/CC會員數的增長是焦點之一，目前已有1,699家民間企業加入，相較於今年年初的1,260家，數量增加449名會員，比例已成長35％。

關於深化情資分享的具體做法，TWCERT/CC最近更是有了全新的策略，強調將以情資為主的溝通，扭轉大家對於通報的刻板印象。特別的是，他們還闡釋了4大情資類別，涵蓋活動預警、駭侵事件、漏洞情資與IoC，希望外界可以更能明白情資內容與應用，同時也公布了成功開發電郵陷阱機制，以及與Shadowserver基金會合作等進展。

將逐步以情資為溝通基礎，而非以事件通報角度來溝通，以利情資驅動的資安聯防

資安院院長何全德強調，資安問題已不再是單一國家、企業或組織可以獨自有效解決，在資安院接手TWCERT/CC後，希望將過去技服中心的經驗，也能有效用於服務廣大的臺灣民間企業。

關於TWCERT/CC的發展現況，由資安院通報應變中心主任孫偉哲上場說明。由於該場議程的TLP情資分級為「綠燈」，僅限領域內部人員使用，因此我們會後徵詢孫偉哲同意，揭露當中可公開的重點。

他首先強調，TWCERT/CC為促進資安情資分享，將以「情資」取代「通報」的概念，這是其未來服務方向的一項全新轉變。

為何會有這樣的改變？主要原因是，在過去一年推廣情資分享的過程中，他們發現民間企業較不願以通報角度來分享資訊，認為通報是嚴謹且繁瑣的程序，這也導致降低了參與意願。此外，企業也常誤解分享情資時需提供過於詳盡的內容。

因此，TWCERT/CC希望以「情資」為溝通基礎，幫助企業理解其在聯防合作中的重要性。

雖然大家可能對於情資、通報的定義還很抽象，因此孫偉哲繼續解釋，情資分享的重點並非提供事件的全貌，而是主要聚焦於：遇到何種類型攻擊、可能攻擊標的、入侵指標（IoC）、攻擊手法等。

換言之，情資分享並不是分享多少電腦伺服器受害，是否資料外洩等，這些內容對第一線聯防並無價值，無法幫助其他單位的聯防準備。

因此孫偉哲指出，TWCERT/CC將逐步以情資角度來溝通，而非以事件通報為角度來進行溝通，這是後續推動上的調整重點。

至於具體有哪些調整？對此，我們首先聯想到，這應該是指TWCERT/CC網站的服務頁面上，可以找到「一般資安通報」的線上服務。孫偉哲的回應是：未來TWCERT/CC的對外服務網站確實將進行全面改版，會以情資的角度，讓民眾與企業協助提供相應的資訊，以幫助提升聯防的成效。

綜觀此一變化，我們認為，過去TWCERT/CC為了幫助企業遭遇資安事件的應處，提供事件通報的管道，隨著2023年他們發布企業資安事件應變處理指南，如今他們顯然更強調在聯防與情資交流。

提供會員4大情資類別，中小企業受益最大

在以情資驅動的聯防上，TWCERT/CC會員究竟可獲得哪些具體內容？孫偉哲表示，主要有4大情資類型，分別是：活動預警、駭侵事件、漏洞情資，以及入侵指標。

而我們也好奇，這4大情資類型是否今年才開始畫分？他表示，過去TWCERT/CC就會將情資提供給會員，如今資安院接手維運的新作法就是，依照過往經驗將情資類別明確化，希望讓會員可以較能明白情資內容與應用，例如：

（一）活動預警情資
TWCERT/CC將研析外部提供的企業攻擊事件情資，從中發現共通性、淺在攻擊活動，提醒相關企業及早防範。他舉例，當發現一個針對特定領域的攻擊，雖然該企業可能不是正在被攻擊的對象，但接獲情資、知道風險可能上升時，就能預先做準備。當然，這也仰賴情資的價值程度，才能讓防範上更有針對性。

（二）駭侵事件情資
會根據外部或自主發現的攻擊事件情資，將相關資訊經分析後提供遭駭企業應處。例如TWCERT/CC在暗網、地下論壇發現有一家公司資料被販賣，一旦發現這樣的情資後，他們就會協助通知該公司。

基本上，這應該是企業應該主動監控的範疇，但為了幫助更多缺乏資源的中小企業，因此TWCERT將協助通知，避免國內企業未能掌握此狀況。至於外洩資料是否為攻擊者設置的煙霧彈，或企業是否真正受害，仍需要收到情資的企業自行判斷與調查。

（三）漏洞情資
不論是已知漏洞未修補，或是零時差漏洞的問題，由於近年駭客經常利用漏洞作為攻擊起始點的態勢，因此企業必須有所掌握。當然，所有漏洞修補其實都有其重要性，不過，TWCERT/CC會更著重在高風險漏洞層面的分享，因為這些漏洞威脅更具急迫性。

因此，他們每星期會參考美國CISA公布的已知漏洞利用清單，並彙整新遭利用的漏洞，同時也會統整出相對影響較高的漏洞，以及CVSS風險評分較高的漏洞，供廣泛的TWCERT/CC會員可以檢查，是否有受影響的設備，以及是否已經安排更新修補。

（四）入侵指標情資
基本上，IoC入侵指標的全名是Indicators of Compromise，主要是用於辨識惡意活動或安全事件的具體證據或跡象，包含IP地址、網域名稱（DN）、惡意檔案的HASH值，可以幫助資安團隊快速識別威脅。

孫偉哲表示，如果不知道面對特定威脅該如何防護，也可以把這些情資部署於防護設備、設為黑名單。這對於普遍資源不充沛的中小企業而言，至少能有防護行動的開始。

開發電郵陷阱機制，與Shadowserver合作，未來還將提升情資自研能量

之所以有上述4大情資類別能夠交流分享、促進聯防，背後其實也仰賴多方威脅偵測的蒐集，才能產出這些預警情資。

因此，TWCERT/CC日後也希望，有些情資可以是由自身研究來發現，進一步提升情蒐預警能力，而不像過去這方面的業務型態，全是仰賴從外部收到的情資，或是購買而來的情資。

之所以有此改變，是因為過去計服中心在協助公務機關時，本身就會自己研究取得情資，因此資安院如今也希望將這樣的能量也用在民間企業，這會是未來一個重要發展方向。

在促進情資交流上，現在TWCERT/CC也採取更積極的態度，像是針對發布資安重訊的上市櫃公司，他們會主動聯繫這些公司，詢問是否能協助提供IoC以利聯防。而且，目前也確實有企業願意分享這些入侵指標。

在國內資安事件分析上，孫偉哲也揭露幾項統計數據，我們特別關注以下幾點，例如：在國內資安事件分析上，以今年2024年（至10月底為止）而言，勒索攻擊事件比例最高，佔所有事件的44.68%；在CVE漏洞審查方面，今年TWCERT/CC已公告130個CVE漏洞，當中多屬高風險漏洞；在惡意檔案檢測服務VirusCheck上，TWCERT/CC收到1,645筆可疑檔案需要檢測，以民間企業使用率最高，共發現44個惡意程式、12個IP位址與16個網域名稱。

在國際情資分享上，今年TWCERT/CC已接獲1,660件國際資安情資，當中以惡意程式相關情報佔45.84%，比例最高。

特別的是，他們也提到與國際組織Shadowserver基金會合作，共同研析國內產品資安漏洞，希望進一步提升台灣資安產品在國際市場的可信度。

而在技術創新方面，TWCERT/CC也成功開發了一項自主電郵陷阱機制，專注於捕捉針對電子郵件的威脅行為，希望藉由發展更多威脅資訊來源，持續擴展自身的情蒐預警能力。

總體而言，TWCERT/CC情資分享的聯防，不只是鏈結公私協力聯防，更著重幫助為數眾多的中小企業；若是將聯防範圍縮小，則有來自產業間的聯防，像是國內已有高科技資安產業聯盟，可涵蓋眾多供應商、供應鏈，做到更深入的情資交流。

此外，數位發展部政務次長闕河鳴也現身這場年會，並透露他們正在推動國安層級的資安應變中心。畢竟，現在資訊安全的領域已從傳統的網路安全攻防，結合認知作戰，形成混合戰爭，因此從最整體國安角度來通盤考量更顯重要。