Line資安緊急應變第一線團隊亮相

資安事件的複雜與多元，已經成為所有企業不得不面臨的真實現況，不管是資料外洩、或者是網站服務遭到DDoS攻擊，甚至是許多釣魚網站或勒索軟體的威脅等，不論企業規模大小都面臨同樣的威脅。從這樣的現實環境來看，駭客面對企業的資安攻擊，已經到了無差別攻擊時代，沒有任何企業可以倖免於難。

也因為沒有任何企業或者是任何人可以置外於資安攻擊之外，所以日本也有很多企業開始設立企業內部的CSIRT（Computer Security Incident Response Team，資安事件應變團隊），身為日本最大的網路即時通訊軟體業者的Line，經常要面臨各式各樣的網路威脅，也必須面對許多使用者承受的網路詐騙、帳號遭竊等資安風險，甚至是Line公司本身也是駭客鎖定攻擊的對象，因此Line對於面對各種資安事件的因應，顯得萬分謹慎。

面對種種的不確定因素，Line成立CSIRT團隊，透過Line溝通平臺即時交換資安威脅情資。Line資安部門資深經理Mangi Leem表示，這是一個跨國資安虛擬團隊，不同資安部門都有成員加入該虛擬團隊中，沒有一定要多少人、要什麼樣的層級，關鍵在於可以第一時間監控到資安事件的爆發並立即分析處理，甚至可以做到後續資安流程檢視與改善，就是Line設立CSIRT團隊所帶來最大的價值。

不論企業規模大小，都有建置CSIRT團隊的實際需求

日本有許多公司這幾年都開始在企業內部設置CSIRT團隊，不過，Mangi Leem表示，這類團隊的設置雖然也和網路風險比以往更高有直接或間接的關聯性，但是，法規驅動其實是潛在的誘因。原本日本政府並沒有透過法規，強制日本企業必須打造這樣的資安團隊，直到2015年日本政府制定相關的網路策略指導方針，開始鼓勵日本企業可以考慮設置CSIRT團隊，加上同年日本爆發日本國民年金機構外洩高達125萬名日本民眾個人資料的個資外洩事件後，許多日本企業也紛紛打造CSIRT團隊。

Mangi Leem指出，在十年前，企業面臨的網路攻擊，往往都是因為軟體脆弱性以至於遭到駭客或惡意程式攻擊，而且，當年相關的軟體漏洞對外揭露時，並不會在第一時間就發生攻擊事件；但現在，企業面臨幾乎都是零時差攻擊，只要一有漏洞發布，第一時間就會出現相關的攻擊工具。所以，他認為，除了政府部門鼓勵外，也有越來越多企業面臨實質的資安威脅時，考慮要建立一個相關資安事件因應團隊。

他以WannaCry為例，如果企業內有CSIRT團隊，可以對勒索蠕蟲進行風險評估，並確認企業內部相關電腦系統針對WannaCry相關漏洞的修補進度。

Mangi Leem認為，嚴格說來，不論企業規模大小，都有設置CSIRT團隊的必要性，但是規模較小的企業，的確會陷入缺乏資安人才的困境。

Line的CSIRT團隊，包括跨國SOC與CERT團隊

日本目前有二百多間大型企業都有建置CSIRT團隊，每一間企業的成員類型都有不同，有些是專職的資安人員，有些則是兼任，通常是由網路或是基礎設施系統工程師兼任CSIRT團隊成員。但Mangi Leem表示，不論該團隊成員是正職或兼任，重點在於「是否應該要設立這樣的資安團隊」才是關鍵。

他以Line為例，該公司CSIRT資安因應團隊主要分成兩大職能部門，第一個就是彙整所有資安資訊，並且有24小時輪班的SOC（資安維運中心）；另外一個就是，進行各種資安資訊監控與分析的CERT（Computer Emergency Response Team，電腦緊急應變小組）。

Mangi Leem進一步解釋，Line的CSIRT團隊有三個最主要的任務，首先，就是預防各種資安事件並做好相對應的準備措施，事先有規畫和準備，一旦突發資安事件，才不會措手不及；再者，監測各種資安風險與分析威脅情資，所有的資料都必須經過分析才能變成有用的資訊，甚至才能進一步成為有用的情資，Line的CSIRT必須要彙整各種資料與資訊，分析各種資安威脅情資，找出Line最脆弱的資安環節。

他表示，最後的任務則是，企業一旦發生任何資安事件，都必須針對該事件做完整的檢視，重新調整相關資安因應策略，不論資安事件規模大小或複雜性，都證明企業內部有一個脆弱環節有待資安團隊重新檢視、修補和調整，而CSIRT也有責任和義務，重新檢視企業所有的流程和環節。

目前CSIRT團隊成員平常透過Line群組交換訊息，Mangi Leem表示，即使是夜深人靜的時候，有任何資安威脅情資或爆發任何資安事件，團隊成員都可以透過Line即時傳遞資訊，也會聯絡值班人員，按照一定的標準作業程序進行資安事件處理。

他說：「Line是一間跨國公司，而Line所屬的內部CSIRT團隊，則同時囊括日本、韓國的資安團隊成員，進行跨國合作。」因為CSIRT團隊往往是由資安事件所驅動的，發生資安事件時，團隊成員為了解決資安事件，甚至沒有明確的下班時間。

Mangi Leem認為，就像是半夜遇到資安事件通報，輪到當天值班的人員就得第一時間負起相關的通報義務，並且積極掌握相關資安事件爆發狀況；但沒有發生資安事件時，就著重在如何從既有的登錄檔（Log）去偵測並發現相關資安風險，像是從各種資安設備與系統收集到的資安事件Log檔，就可以由SOC團隊進行資安分析，「對CSIRT團隊而言，沒有足夠的Log檔，也就無法進行資安事件分析。」他說。

他也進一步解釋，Line搜集到各種系統登錄檔數量十分龐大，已經採用機器學習（Machine Learning）方式找出潛在資安風險，他希望接下來的目標，可以透過系統自動化，更快找出企業潛在的資安風險。目前，Line的CSIRT團隊也會透過逆向工程、網路鑑識以及從各個電腦感染的時間先後順序等，找出資安事件發生的緣起，有機會進一步了解電腦遭到感染的先後順序。不過，滲透測試（PT），目前並不包括在Line的CSIRT團隊中。

CSIRT團隊要撰寫資安演練的情境腳本

CSIRT團隊處理所有資安事件都有一定的處理程序，Mangi Leem表示，首要任務就是要釐清資安事件的範圍。例如，這起資安事件究竟是牽涉到Line App本身出現軟體漏洞所造成的資安事件，或者是Line所提供的各種服務，出現類似業務邏輯漏洞的資安風險，還是，爆發Line使用者大規模個資外洩事件，甚至可能是Line公司營運面臨重大營運持續的風險等等，「因應不同範疇的資安事件，CSIRT就得事先規畫不同的因應方式。」他說。

Line資安長兼隱私長中山剛志表示，CSIRT團隊對Line而言，就是一個資安危機管理的虛擬團隊，專門協助Line進行各種資安風險評估以及危機處理的虛擬組織。他指出，每一次的資安演練題目都是一個重要的資安議題，演練的目的就是為了降低Line在意的某一類資安風險，為了要讓這樣的資安演練可以達到實際的成效，包括每一次資安演練的情境模擬腳本內容以及對應的資安因應策略等，都由CSIRT負責撰寫真實且務實的內容，才能夠降低每一次不同資安風險對Line帶來的衝擊。