國家高速網路與計算中心(簡稱國網中心)日前宣布,成立一個協助解決國際資安通報時的國際資安事件處理小組,命名為TWCSIRT(TaiWan Computer Security Incident Response Team,臺灣電腦安全事件應變中心),其中Incident Response Team所指如同有些企業資安事件解決小組(IR)。TWCSIRT除了彙整國際資安事件通報,並將提供進一步的資安事件緊急應變處理等支援。

國網中心副研究員蔡一郎表示,過往國網中心承接許多國際專案,例如The Honeynet Project(誘捕計畫)而和國際資安通報組織有很好的互動,卻因此發現,許多國際資安組織要通報資安事件給臺灣時,經常找不到適合協助解決資安事件的窗口。因此,國網中心決定成立第一線處理國際資安事件通報的資安處理團隊CSIRT,進一步健全臺灣國際資安事件的通報及事件處理。

國網中心成立第一線國際資安事件處理小組

國網中心從2006年成立資安團隊並自主建置資安維運中心(SOC)以來,這幾年已經累積許多資安事件通報和處理經驗,例如,協助教育部監控學術網路中最常出現的傀儡電腦,或是建置一套惡意程式資料庫等;也參與許多國際間資安事件調查,像是調查中國網軍對臺灣的針對式攻擊、臺菲之間的網路攻擊及DDoS攻擊等,在這個過程中,也和許多國際資安組織有很好的互動。

蔡一郎指出,在這樣的互動中發現,臺灣除少數資安緊急應變小組(CERT)外,多數CERT和國際資安組織缺乏互動,經常出現其他資安組織要通報臺灣資安事件時,找不到合適的CERT窗口,只好通報給有互動的國網中心協助處理。因此,基於國際互惠及合作前提,國網中心決定成立第一線處理國際通報資安事件的CSIRT。

TWCSIRT任務分成三大類,首先是負責惡意程式清理的主動網路威脅防禦中心(PCDC),第二類是包含數位鑑識、弱點分析、滲透測試在內的資安維運中心(SOC),最後一類則是藉由國際合作,在第一時間獲得國際資安情資,合作對象包括各國資安協調中心CERT/CC,及一些重要的國際資安組織,例如:FIRST、The Honeynet Project等。蔡一郎表示,當TWCSIRT接獲國際通報的資安事件時,將會由國網中心的資安團隊到場協助解決。

臺灣專職處理國際資安事件的CSIRT只有1個

臺灣雖有8個CERT組織,規模、功能各有不同,其中,技服中心負責的TWNCERT,和今年6月後,由法人機構中山科學院代管的TWCERT及TWCERT/CC,3個CERT都有參與國際資安組織、接收國際資安資訊;其他的CERT主要仍以事件通報為主

也因此,的確會出現通報國際資安事件時,不知道應該通報臺灣哪一個窗口;而通報後,該窗口也不見得有能力現場處理資安事件,才有國網中心第一線解決CSIRT成立。

臺灣第一個取得CERT國際講師證照、網路暱稱OX的資安專家表示,許多國外設置這類資安組織時,經常會以國家名稱的CERT兼任該國資安情報協調中心CERT/CC,作為主要接收和協調資安通報的單位,其餘產業設置多以解決資安事件的CSIRT為主。「臺灣設立情況剛好反其道而行。」他說。

若以中國為例,CNCERT/CC是主要的國際與政府間的資安通報與協調窗口,其下則有各種的CSIRT單位,例如:主要互聯網域名註冊商應急小組和互聯網IDC應急小組等。

熱門新聞

Advertisement