在去年12月31日半夜,有帳號為nomorepipe的網友在PTT八卦版發文,蒐集中國武漢疑似爆發SARS的資訊,而這樣的資訊,剛好被疾病管制署與防疫醫師關注到並追查。

圖片來源: 

批踢踢

武漢肺炎全球大流行,臺灣能在世界各國對疫情都還沒反應過來時,先行提高警覺,關鍵就是情資的掌握與判讀,而獲得全臺民眾關注的,自然就是被譽為PTT護國神文的一篇文章。

在2019年12月31日凌晨兩點多,一篇八卦版的文章吸引不少人注意,這是PTT鄉民「nomorepipe」發布,標題為:「〔問卦〕武漢疑爆發非典型肺炎冠狀病毒群聚感染?」

引發熱烈討論的原因,當中提及出現類SARS個案,發文者不僅找出中國官方的公告,透露有不明原因肺炎群聚感染,並附上李文亮醫師在即時通訊對話的截圖,以及檢驗報告等內容。有網友就在半夜留言表示,「想到和平醫院」,甚至有網友預告「照理中共會封鎖消息,然後病情失控傳到國外」。

當然,更關鍵的是,這樣的資訊被臺灣的防疫專業人員注意到,並且研判相當重要。包括疾管署的防疫醫師,以及疾病管制署副署長羅一鈞,剛好在凌晨瀏覽這樣的資訊,他並在完成初步查證後轉發到署內群組,這才有了後續持續關注與啟動緊急應變。

例如,疾病管制署在去年12月31日,曾寄信通知世界衛生組織(WHO);在今年1月7日,他們將武漢市國際旅遊疫情建議等級列為第一級;後續又因泰國、日本、韓國等鄰近國家接連出現自武漢移入的確診個案,他們研判中國大陸疫情已有明顯社區傳播及疫情擴大情形。於是,疾病管制署在1月20宣布,成立「嚴重特殊傳染性肺炎中央流行疫情指揮中心」,以及推出各式防疫應變計畫。

防疫情資就是及早應變重要關鍵,企業同樣不可等閒視之

及早掌握情資的重要性,已經不言而喻,勤業眾信風險諮詢服務執行副總經理林彥良指出,對於企業而言,情資管理就是重點,首要動作,是要盤點資源與認識企業風險,才能知道這個事情跟自己是否有關。  (攝影/洪政偉)

在這次臺灣的防疫經驗中,情資重不重要?答案很肯定,否則我們的防疫工作可能就無法如此順利,反觀其他國家,等到他們出現大量本土感染案例,才開始因應,結果就是,他們必須付出更大的代價。

情資的重要性,已經體現於很多領域,如同電腦遊戲上的LOL插眼(英雄聯盟一種拓展視野的技巧),而在資安領域也是如此。這次我們詢問不少資安專家,他們也提出與防疫相關觀察與意見,希望讓企業能夠更重視情資的重要性。

例如,TeamT5杜浦數位安全執行長蔡松廷舉出一例,那就是2017年5月爆發的勒索蠕蟲WannaCry事件,這個勒索病毒在短短一個週末的時間,就讓全球數十萬臺電腦被攻擊,而它的主要的入侵方式,是透過SMB 1.0(SMBv1)的漏洞主動擴散。

不過,WannaCry所利用的漏洞,其實微軟在兩個月前,也就在3月14日就已發布資訊安全公告MS17-010,當中提及相關的漏洞,並且同步發布了修補程式。

同樣的道理,對於能夠及早修補的企業與用戶來說,能夠掌握這類關於漏洞的資安訊息情資,就能夠先做出因應。

雖然,從現實面來看,企業總是後知後覺的狀況居多,不過,早一步得知剛發生的攻擊活動的情資,瞭解惡意程式攻擊途徑與管道,因此,在受到攻擊之前,其實還是有很多機會,我們可以超前部署、盡早因應與加快應對。最害怕的是,企業一直都不知不覺。

但這也不由得讓我們反思,以IT領域而言,對於這類漏洞資訊的基本資安情資,雖然有些企業都會重視,但還是有不少情況,例如,明明是高風險或嚴重等級的漏洞,系統設備業者已經發布修補更新,發現漏洞的資安研究人員在此後也對外揭露,卻有部分企業仍然不知道要修補,而且這是上市大企業都存在的狀況。

顯然,部分企業對於這些資訊的掌握,並不到位,使得後續又有資安業者或是CERT組織發出警示,指出已偵測到攻擊活動,或是傳出Exploit(攻擊程式)已經出現;又或是有通報者在漏洞通報平臺,通報企業存在設備漏洞未修補的狀況。

PTT護國神文的出現,引起政府的關切,之後也啟動一連串確認及應變措施,這當中,更重要的一個關鍵,大家可能容易忽略的是,那就是對於情資判讀的重要性。

及早拿到情資之餘,要能正確判讀更重要

根據羅一鈞在4月16日每日記者會上的說明,當時他看到這篇後來被稱為PTT護國神文的內容,注意到一般爆料不同的狀況,包括提到華南海鮮市場有確診7例SARS,引發關注,而他也追查截圖中的原始檢驗報告,瞭解可能是致病性高的病原體,並從照片概況研判是當地醫療人員內部討論群組流出,具有某種可信度,加上追查外流訊息時,發現有醫護互相提醒的狀況,擔心院內醫護人員相互感染,因此,他趕緊將這樣的訊息提供到衛生署內的Line群組,才有後續的防疫動作。當然,也是因為有過SARS的經歷,才更能夠將這些情資串在一起。

這樣的過程看似簡單,但戴夫寇爾執行長兼共同創辦人翁浩正提醒的是,在資安領域,情資的複雜性更高。例如,對於高傳染性生物,我們通常要知道的是什麼病毒、細菌,以及傳染方式與症狀,但在資安上,除了掌握惡意程式、勒索病毒,要能知道它的攻擊行為與途徑,但也有更複雜的,像是針對駭客組織的情資又不同,需要掌握攻擊者是誰,採取的攻擊戰術流程(Tactics、Techniques與Procedures,TTP),而這類情資的價值也比較高。

這主要也是跟威脅的屬性差異有關。同是看不見的病毒,但防疫面對的病毒、細菌多半是自然演變而來,資安防駭面對的威脅則都是人為製造,因此很難用一成不變的方式去防禦。而一般資安圈所談的威脅情資,大多也都更聚焦在APT防護。

對於已經重視情資的企業或組織而言,下一步該注意的挑戰又是甚麼?

要像這次防疫經驗,能夠如此快速判讀威脅態勢,資安情資管理就是不可或缺的一環。要知道的是,關於前述的漏洞資訊,只能算是一種基本的資安資訊,還有像是網頁攻擊情資、入侵攻擊情資(垃圾郵件、中繼站、殭屍電腦、C&C等),還有更高層面的威脅情資,將會涵蓋到攻擊者身分,採取的攻擊戰術流程(TTP),以及相關攻擊事件,不同產業屬性等。

這次我們訪問的不少資安專家,其實都提到了情資判讀與分析的重要性。對此,勤業眾信風險諮詢服務執行副總經理林彥良表示,企業必須重視威脅情資的管理,像是PTT八卦版上的雜訊很多,當防疫人員看到時,也要有夠多資訊能夠關連、串在一起。

不僅是資安情資,對於資安新聞與事件也是如此,不論當事人或旁觀者,有些人看到這些資訊會有感覺,但有人看到同樣的資訊卻沒感覺,這就會影響後續使否採取行動的速度。其實,大家多半都能瞭解情資的重要性,但有些情資,是會引發注意但無法做出關連,又或者是,能注意、關連,卻不一定知道該如何處理,這是企業在關注情資時,也要能注意的面向。

像是有國際駭客鎖定全球金融業,瞄準國際匯款系統SWIFT,當其他國家銀行遇害,臺灣金融業是否能夠及早吸取相關情資與經驗。

由於威脅情資面向涵蓋非常廣,對此,勤業眾信風險資訊服務協理陳威棋指出,這是管理的議題,因為情資也有分等級,還要能識別情資的重要性,一開始就要知道企業有哪些風險,才能進一步知道要蒐集那些威脅情資。對此,林彥良也用NIST CSF網路安全框架來說明,他說,一開始就提到要建立企業本身的輪廓(Profiles),才能知道自己面臨的風險。

舉例來說,我們會盤點公司使用的資訊設備,甚至系統元件,如此一來,才能知道那些漏洞資訊自己需要注意,或是瞭解公司旗下有哪些產業,才能知道應關注那些領域的威脅情資。

無論如何,企業在做資安工作時,除了基本的資安防護,情資也是一大關心重點。但其實,威脅情資在資安領域也是很大的一個議題,而網路威脅情報(Cyber Threat Intelligence,CTI),以及建立威脅情報平臺(Threat Intelligence Platform,TIP)的概念,也早已成形。不過,從防疫經驗來看,我們至少要知道的是,及早掌握資訊的重要性,即便後知後覺也比不知不覺要好,而情資的判讀也很重要。

對於普遍企業而言,掌握一般資安情資資訊,是應該要盡力做到的基本功,無法達到這樣要求的企業需自我檢討,而就中大型企業,以及關鍵基礎建設而言,所要重視的威脅情資範圍將會更為廣泛,特別是在APT攻擊方面。

 更多相關報導  從防疫學防駭


Advertisement

更多 iThome相關內容