【資安周報第69期】臺灣關鍵基礎設施專屬應變團隊在哪裡？

烏克蘭電廠在2015年12月23日的耶誕節前夕，遇到無預警的大規模停電，後來經過資安專家確認，該電廠是被植入針對關鍵基礎設施的惡意程式BlackEnergy。這起事件引發全球關注，連美國關鍵基礎設施的工控系統網路緊急應變小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）等團隊，也都飛往烏克蘭協助鑑識和處理相關的資安事件，找出攻擊事件的相關線索和對抗相關的威脅。

關鍵基礎設施的資安威脅最早是從惡意程式Stuxnet攻擊伊朗核電廠揭開序幕，也因為關鍵基礎設施攸關許多民眾的生命與生活安全，美國對於這樣的資安威脅也非常在意，因此，關鍵基礎設施的資訊安全一直是美國政府高度關注的重要資安議題。

根據美國ICS-CERT統計2016年美國財年所通報的資安事件，總共有290起資安事件發生，其中，有63起發生在關鍵基礎設施產業的資安事件，另外有62起發生在通訊產業，另外有59起發生在能源產業；除了產業別外，在290起資安事件中，也有26％是魚叉式釣魚手法（Spear Phishing）引起的，網路掃描與探測的資安事件也有12％；另外也成立專屬團隊，協助處理187個工控系統相關的漏洞，並協同其他資安業者降低其他305個漏洞的風險。

從美國ICS-CERT的統計資料可以清楚發現，該單位可以清楚掌握包括：化工產業、商業設施產業、通訊產業、關鍵製造業、水庫產業、國防工業、緊急救護產業、能源產業、金融服務產業、糧食與農耕產業、政府部門、醫療保健與公共衛生產業、資訊科技產業、核能反應材料與廢棄物產業、交通產業、水資源與廢水系統產業等16種美國政府納管的關鍵基礎設施產業所爆發的資安事件，也有能力協助各該產業緊急處理相關的資安風險。

相較於美國針對16個關鍵基礎設施產業成立專屬的ICS-CERT，藉此彙整跨產業工控系統相關的資安事件作法，有效提升政府部門對關鍵基礎設施爆發資安事件的掌握，但回頭看看臺灣，除了針對民間企業與國際協調通報應變的TWCERT/CC外，八大關鍵基礎設施產業中，只有政府部門有技服中心成立TWNCERT、電信業者主管機關成立NCC-CERT外，其餘關鍵基礎設施並沒有成立針對資安事件的緊急應變團隊，更遑論效法美國成立關鍵基礎設施專屬的ICS-CERT。

臺灣應效法美國成立關鍵基礎設施專屬團隊ICS-CERT

目前臺灣行政院資安處正在努力推動，希望第一個資安專法「資安管理法」可以儘速在行政院院會通過後，送交立法院進行三讀審查。這個法案最大的特色就是，將行政院國土安全辦公室規畫的八大關鍵基礎設施納入資安管理法的管理範疇中，也就是說，未來包括政府機關、能源、水資源、通訊傳播、交通、金融與銀行、醫院、高科技園區等關鍵基礎設施產業，一旦爆發任何資安事件，皆有責任和義務跟該產業的主管機關通報。

目前臺灣有針對民營企業成立的TWCERT/CC並兼具國際協調應變的責任，但在八大關鍵基礎設施產業中，只有政府部門有技服中心成立的TWNCERT、電信業者主管機關成立NCC-CERT，其餘關鍵基礎設施產業並沒有成立CERT組織。

根據行政院資安處彙整的八大資安旗艦計畫中，也要求關鍵基礎設施主管機關都必須建置該產業的ISAC（資安情資分享分析中心），其中一個很重要的關鍵因素就是，可以透過資安情資的分享與分析，掌握各個關鍵基礎設施的資安風險等級與狀況，而金融產業則預計成立F-ISAC（資安情資分享與分析中心）

只不過，臺灣這些關鍵基礎設施業者跟主管機關通報資安事件後，更重要的關鍵在於，相關的業者是否有能力處理相關的資安事件。畢竟，對相關的關鍵基礎設施業者而言，只有資安情資的分享與分析是不夠，如果臺灣各產業的主管機關除了建置ISAC外，也應該仿效美國打造一個集合所有關鍵基礎設施相關業者的ICS-CERT，並成立相關的資安事件處理團隊（IR Team）的話，才是真正對於關鍵基礎設施業者有實質效益的作法。

除了成立資安和漏洞處理小組，ICS-CERT也研發軟體做風險評估

美國ICS-CERT主要的任務就是減少國家關鍵基礎設施的風險，成立一個資安事件緊急應變小組就是希望可以減輕網路安全事件，對全美16個關鍵基礎設施產業的工業控制系統造成的影響。對於這些關鍵基礎設施的民營業者而言，ICS-CERT成立的資安事件緊急應變小組帶來一個重要的價值就是，可以協助受駭業者定義出資安風險影響的程度，駭客使用哪一些攻擊手法和技術，並且協助業者發展出減緩、復原、強化網路防禦能力的資安策略等等。

由於網路資安風險複雜性越來越高，因此，ICS-CERT也會和其他國際的CERT組織，以及一些民營單位組成的CERT組織一起協同合作，也會和其他各個不同的的電腦安全事件回應處理小組（CSIRT）分享針對工控系統爆發資安事件的因應處理方式。

因為ICS-CSRT有綿密的情資分享和國際與民營資安機構的合作經驗，對於強化相關的網路安全防護能力有很大的提升，光在美國2016財年期間，ICS-CERT就處理187個漏洞，並且和其他業者協同處理305個漏洞。

以2016年處理的資安事件為例，資安事件緊急應變小組不僅率先從一起網路攻擊事件，發現到這個資安事件帶來的後遺症就是會影響到電廠的實體安全；也從其他資安事件的處理經驗中，找到針對水資源控制系統可以進行遠端遙控存取的低階惡意程式，也因為可以事先發現，就可以做到事先預防處理。

ICS-CERT除了有資安事件處理團隊外，也有成立一個漏洞協同處理小組（Vulnerability Coordination Team），這個單位會和美國聯邦政府、州政府、區政府、關鍵基礎設施業者、維運者以及關鍵基礎設施設備業者等一起合作，從五個步驟處理找到的關鍵基礎設施的漏洞。

這五個步驟，第一步就是：偵測與蒐集相關的漏洞資訊，主要是從各種漏洞研究報告蒐集相關資訊，也有一些是從資安研究者直接提供的漏洞資訊，並從中學習並排除一些錯誤的警告資訊，對每一個漏洞提供正確的分類；第二步就是分析漏洞，這個團隊和關鍵基礎設施設備業者的分析師合作，檢視漏洞的程度並定義出所有潛在的威脅。

第三步是協同其他資安業者減緩漏洞風險，不論是提供相關的漏洞修補程式（Patch）或者是測試漏洞是否修復都算。第四步是應用程式漏洞修補，該團隊會和資安相關的資安業者在漏洞對外公開揭露前，完成相關的測試與漏洞修補，減少對終端使用者的影響；最後就是公開漏洞，在所有的資安業者與該團隊收集到所有技術與威脅資訊後，公開相關的資安警告並提出修補建議，以提醒使用者注意這個漏洞帶來的風險。

ICS-CERT也深知，只有靠人力處理資安事件在速度與效率上，是遠遠無法滿足使用者的需求，因此，美國國家實驗室（SNL）則花費一年的時間研究，開發出一套協助ICS-CERT做評估的原型工具。在2016財年，ICS-CERT針對分布在19州的12個關鍵基礎設施產業，總共進行了130次網路安全風險評估，其中，有32次是使用CSET自我評估工具所進行的評估，另外55次是檢視設計架構（DAR），另外43次則是針對網路架構驗證和有效性做評估（NAVV）。

若以ICS-CERT研發的網路安全自我評估工具CSET來看，在2016年2月釋出7.1版，9月釋出8.0版，可以協助關鍵基礎設施相關的維運和資安業者，進行系統性、規律性並且可重複執行的完成相關資安風險評估。除了美國自己境內單位使用外，該評估軟體也全球在120個國家，下載超過一萬次。文⊙黃彥棻