政府經常面對許多針對性攻擊,有許多公務人員已經練就看到可疑郵件會將惡意檔案上傳VirusTotal平臺檢測的功力,但為了避免檢測惡意檔案同時有機敏資料外洩,臺灣也打算建置臺版VirusTotal,最遲希望年中可以看到雛形。

新年度政府編列資安預算創下歷年新高後,也規畫了8大資安旗艦計畫作為完善政府資安的作為。只不過,除了各部會提出的8大資安旗艦計畫之外,行政院資安處處長簡宏偉表示,接下來資安處也會和國發會合作,聯手改善政府內部網路結構和安全,以及透過和外部單位的合作,甚至是和學術單位的串連,更讓政府資安可以做到裡外應合。

尤其是,當政府公務人員越來越有資安意識的同時,簡宏偉指出,開始有公務人員會將可疑檔案上傳VirusTotal平臺檢測是否是惡意檔案的同時,有一些政府機敏資料卻也因此外流。因此,簡宏偉表示,政府也將結合TWCERT和國家高速網路中心的合作,打造臺版VirusTotal檢測平臺,希望最遲今年年中,可以有檢測平臺雛形出爐。

資安旗艦計畫的基礎是開始建置一個一個產業和部會的的ISAC(資安資訊分享和分析中心),他認為,當點狀的ISAC建置完成後,就可以開始進行不同ISAC之間的串連,這表示是不同政府內部部門和產業資安資訊的串連分享與分析,進而形成一個資安防護連線;到最後,不同連線之間的交織合作,就有機會讓政府整體的資安防護可以從點到線到面,形成一個政府完整資安構面的綜觀。

將政府內部視為一個大內網,但部會內網之間仍有管控措施

國發會從以往研考會時代就是負責政府網路的建置,而接下來國發會資管處則會和資安處合作,一起強化政府GSN骨幹網路的安全,簡宏偉表示,透過改變GSN的網路結構,讓整個政府都是一個大內網的概念。

他指出,現在政府邏輯上都在一個內網中,再配合國發會提出的機房整併計畫,可以將14個部會以及所屬的委員會,個別集中在各自部會所屬的機房中,整個GSN是一個大內網,而各個部會及所屬委員會則成為一個小內網,每一個內網之間的介面都必須有嚴格的安全管控措施,形成一道限制存取的防火牆,即便小內網之間爆發資安事件,也都不會影響到其他內網安全,可以做到真正的縱深防禦。「政府的內網做好隔離之後,對外服務則透過共用的DMZ區連網,如此一來,就不需要築萬里長城。」他說。

簡宏偉認為,我們都必須意識到,現在的資安思維已經和過往不同,沒有無堅不摧的資安防護,必須要先承認「所有的資安防護都一定會被攻破」後再設法布局。所謂的防護就是風險的概念,要做的布局不是資安防線不破,而是透過點線面的資安感測系統,隨時掌握資安動態。

例如,如何在內網被攻破的同時,可以即時知道受害的消息,並且設法做損害控制。簡宏偉也以進擊的巨人為例,當第一線城牆被攻破後,就退到第二線城牆;第二線被攻破後,就退到第三線城牆;隨時都必須要有偵查隊巡邏了解城牆內的安全狀況並做防護。

甚至於,也可以設陷阱,因為,他認為,政府資安防護最重要的事情就是,不要外洩重要的資料。所以在作法上,除了讓入侵到城牆裡面的惡意程式(就是敵人)落入陷阱中,無法連回中繼站(C&C server)跟駭客報到外,也可以選擇讓惡意程式回報中繼站但帶著我們設定的某些標籤(Tag),甚至於,讓惡意程式進到內網但是拿到都是所謂的公開資料等等。他認為,透過這樣的手法,都可以提升政府GSN的安全性,「整體架構設計對了,做到後來才會是對的。」簡宏偉表示,當政府機房做集中化整併後,各個部會服務也能集中,就可以開始談公用資訊系統的分享,連同資安也可以協同防護,政府資資訊和資安經費的應用才會更有效率。

「當政府開始強化對外提供服務品質的同時,就必須確保服務的安全性,因此,推動安全的軟體開發生命周期(SSDLC)就有其必要性。」他認為,SSDLC不只是業界必須重視的議題,也要推廣讓政府機關必須採用,而業界從技術層面開始談導入SSDLC,政府機關則從RFP(需求建議書)應該怎麼納入SSDLC的規定,一直到業者開發完後該如何驗證等,政府必須制定一個讓業界以及政府機關都可以遵循參考的標準。「未來新開發的程式都必須採用SSDLC,一步步汰換升級原有政府的系統。」簡宏偉說。

打造資安戰情室,徹底掌握臺灣網路變化

 除了政府各個部會和產業要建置自己的ISAC外,簡宏偉表示,目前政府原本舊有的資安戰力就是委外給資策會的技服中心,這個從扁政府時代就建立的資安戰力,雖然先前無法如期成立行政法人,但在政府資安事件的分析上,仍然扮演相當關鍵的角色。

簡宏偉表示,技服中心的專案雖然恢復成原先委外給資策會執行,但是所有技服員工都是專職和專任技服的資安專案,資策會無權要求技服員工接資策會其他專案執行,甚至於,許多接觸到機敏資料的技服同仁,都和公務人員一樣受到嚴格的規範,出國前20天一定要提出申請,如果到中國甚至必須上層主管核可,即便離職後也比照公務人員的旋轉門條款,依照原本的職務內容受到不同程度的規範。

因為技服中心具備實際的資安能量,未來,簡宏偉希望技服中心可以成為一個政府資安資料的蒐集平臺,包括政府骨幹網路GSN以及其他外部機關像是TWCERT等單位的資安資訊,都可以彙整到技服中心,而資安處也會透過連網的方式,將技服中心蒐集到的資料,以儀表版的方式在資安處成立的戰情室呈現,也藉此觀察政府整體資安環境的變化。

不過,這個資安戰情室除了提供技服中心彙整的資安動態外,也會將NCC(通傳會)預計要做的臺灣底層網路流量分析儀表版,同步呈現在資安處的戰情室中。他指出,有多少人真正知道臺灣每天有多少次的DNS Querry(查詢),如果把政府內部GSN的DNS伺服器,設成是Google的DNS伺服器8.8.8.8的話,政府對外的連網路由(Routing)到底怎麼連的,如果不能了解DNS怎麼Querry、怎麼Routing,存取網站是繞道外面再回來政府內部,內部防護做的再好也沒有用。

如果網路等於馬路,要知道馬路的車流量,就要知道網路的流量才能管理。因此,NCC預計打造一個視覺化的流量監控系統,讓資安處和NCC可以清楚掌握臺灣底層網路的流量變化。

而他認為,這樣的儀表版連線到資安處不僅可以即時掌握臺灣底層網路流量的變化,如果真的有一天遭遇到爆量的Tbps級的DDoS攻擊時,從儀表版的流量變化可以即時察覺,可以讓更多人關注臺灣的網路安全。

TWCERT和國網中心合作,打造政府惡意檔案檢測平臺

中科院接手臺灣電腦網路危機處理暨協調中心(TWCERT/CC),簡宏偉認為,這是一個具有技術能量的單位,也具有軍民銜接、平戰結合的特色,先前因為管理和定位問題,因而未能發揮應有的戰力,「但現在TWCERT/CC透過再次組織改組,將成為協助政府各部門檢測惡意程式檔案的入口網站。」他說。

他進一步解釋,近年來因為政府積極針對政府部門宣導資安概念,有越來越多公務人員時時提高警覺,一旦遇到可疑不確定的檔案,都會由資訊人員上傳國外VirusTotal平臺進行檢測,看其他防毒軟體是否可以偵測到異狀。

簡宏偉認為,公務人員現在已經有能力上傳檔案並做檢測,但潛在的風險卻是,有一些比較機敏的政府檔案,上傳到VirusTotal平臺後,反而讓其他國家可以付費會員方式,取得臺灣的關鍵資料,對臺灣帶來潛在風險。

但他坦言,上傳VirusToal對於降低政府面臨的資安風險具有很大的益處,如果要公務人員不要上傳VirusToal檢測檔案,政府必須要提供一個對應的解決方式才行。簡宏偉表示,透過TWCERT/CC背後所擁有中科院的技術能量並同步進行網站改版,打造一個所有政府部門可以進行惡意檔案檢測的入口網站。

簡宏偉表示,有了入口網站後,目前國家高速網路中心已經有一個類似ViruTotal的惡意檔案檢測平臺,可以先將檔案轉成雜湊值後再做比對。不過,雜湊值比對的缺點就是,這個檢測的檔案一旦有任何地方有異動,雜湊值就會改變,因此,利用雜湊值比對惡意程式的成功率不高。

他說:「無法透過雜湊值比對,就必須透過沙箱做惡意程式的模擬和執行,」國網中心就要把沙箱標準化,必須先將原本研究用的服務,轉變成商轉且要設定SLA,要有標準界面可以獨立提供測試模擬的沙箱環境。

未來,他認為,其他像是技服中心或者是其他部會,就不需要另外打造平臺,直接將不同檢測功能以沙箱方式整合到這個檢測平臺中,不論是鑑識沙箱或者是其他各種惡意程式模擬等獨特技術,都可以新增成為平臺新功能。

只要這樣的平臺上線,簡宏偉表示,各種新增的沙箱功能立即可以提供各個政府機關使用,並開始做資安資料蒐集與分析,「新增的沙箱技術有人用,就可以產生資料並開始分析,形成一個正向循環。」他說,希望這個平臺雛形最晚可以在年中出爐。

透過技服和學界合作,持續前瞻資安研究

簡宏偉坦言,資安技術從攻擊到防禦變化快速,既有的ISAC或是外部單位的合作,其實都是從強化既有政府資安防護能力著手,但是,隨著駭客攻擊手法快速變化,政府也必須有能力掌握更先進的資安攻防趨勢,「以前從學界研究到實務可以應用甚至轉換成政策走向,中間有很大的鴻溝,所以,未來將由技服中心出題,學術單位進行相關的前瞻資安研究,學界和技術結合就是未來可行的合作方向。」他說。

目前,像是資通安全研究與教學中心(TWISC)已經由幾個大學發展出區域中心並且有各自的特色,資安處也和科技部以及TWISC討論,希望接下來學界可以協助臺灣在前瞻資安技術上,可以主動的提供更多類似AI機器學習在資安的分析應用,而不要只是為了做論文升等相關研究而已。

簡宏偉表示,透過這次和科技部以及學界的合作發現,其實有許多學界有很多很棒的資安技術研究成果,但是政府都不知道當然也就無法用在政府像是技服中心這樣的場域中。他認為,學界需要資料作分析,而資安處可以提供學界需要的資料作分析,畢竟政府每天都在蒐集資料;但是,政府需要有好的分析技術和方法,學界就可以提供這樣的分析能力,兩者就可以一拍即合。

政府資安布局慢慢從點連成線到織成面,他認為,除了需要政府部門全力配合外,也必須鼓勵民間企業的積極參與,透過資安戰情室掌握臺灣網路底層路由狀態,到政府網路結構調漲、部會打造資安聯防系統,一直到協助完善國家的資安攻防體系,預計打造臺版VirusTotal平臺作為政府部門檢測惡意檔案的替代方案,並且透過技服中心和學界的合作,持續保有前瞻資安研究的能量並進行高等資安技術轉移,科技部也會進一步向學界徵求更新的研究方向和想法。

「現在是鴨子划水階段,」簡宏偉表示,政府種種的政策作為,就可以慢慢讓臺灣政府的資安防護有一個足夠基礎,加上所有的標準作業模式(SOP)都會出爐,整套作業模式甚至有機會複製到不同領域甚至其他國家。

 


Advertisement

更多 iThome相關內容