今年1月,中山科學研究院資訊通信研究所成立ICRD-CSIRT,除了整合國防領域廠商,完善國防領域資訊安全聯防體系,最終目的是要促進國防領域廠商資安事件應變效率。

在資安即國安的前提下,網路安全成為總統重要政見之一,更已經成為全民共識。然而,面對層出不窮的資安事件,到底應該如何因應與改善,這樣的議題也成為當務之急。

因此,不論是政府或是企業的場域,都開始出現各種不同因應資安事件的單位或組織,目的都是希望可以在第一時間解決當前面臨的資安難題。

這些常見的因應資安事件的組織,包括:電腦緊急應變小組(Computer Emergency Response Team,CERT),電腦資安事件應變小組(Computer Security Incident Response Team,CSIRT),以及產品資安事件應變小組(Product Security Incident Response Team,PSIRT)。

什麼是CERT?

美國聯邦政府為了因應網路蠕蟲的盛行,早在1988年便成立CERT/CC,並由美國卡內基美隆大學軟體工程研究所(Software Engineering Institute,SEI)負責維運,主要的目的是針對資安事件提供各種資安事件通報和緊急應變的協助,也同時幫助其他組織可以建立電腦緊急應變小組,擔任協調中心(Coordination Center)角色並進行相關的資訊分享,在此同時,其他國家也仿效成立電腦緊急應變小組。

到了2003年,美國國土安全部成立US-CERT,主要目的則是打造美國的國家資安預警系統,藉此強化國家對於各種資安事件的緊急應變與協調能力;而從2006年起,US-CERT也協助政府、關鍵基礎設施(包括能源、交通、電信等)和企業,進行大規模資安演練,稱之為網路風暴(Cyber Storm)。

而在臺灣,成立這類組織的風氣,最早可追溯至1998年,這一年的9月由中山大學成立TWCERT/CC,直到2000年1月,轉由臺灣網路資訊中心( TWNIC)負責維運,2014年8月則由中山科學院接手,之後到了2019年1月,再由臺灣網路資訊中心二度接手維運。

目前成立CERT的單位,可以分成國家級、領域級(包括關鍵基礎設施),以及關鍵基礎設施服務提供者建置的CERT,臺灣除了最早建立的TWCERT/CC之外,還包括:國家電腦事件處理中心(TWNCERT)、國家資通安全應變中心(NCERT)、國家通訊傳播委員會電腦危機處理中心(NCC-CERT)及經濟部電子商務資安通報服務中心(EC-CERT),也擴及教育機構臺灣學術網路危機處理中心(TACERT)等領域。

整體而言,不論是國家級或是領域級的CERT,成立的目的就是要針對資安事件能夠有即時對應和處置,透過交換訊息達到區域聯防的效果。

什麼是CSIRT?

相較政府和產業打造的CERT,電腦資安事件應變小組(Computer Security Incident Response Team,CSIRT)更像是企業第一線處理資安事件的團隊,也有些企業把CSIRT團隊定義為單純做資安事件處理小組(IR Team)。

然而,不論是CSIRT或是IR Team,都沒有明文規定需要有多少成員。事實上,當企業打造CSIRT團隊,就意味著,企業已經具備處理資安事件的能量和能力。

歐美國家針對CSIRT制定了相關的標準,像是美國國家標準技術研究所(NIST)則針對CSIRT制定相關的標準規範;至於歐盟網路資訊安全局(ENISA)先前除了制定CSIRT相關策略和團隊守則,在武漢肺炎疫情期間,因為歐洲許多國家採取封城手段,民眾對於網路服務的依賴日深,但相對地,面對的資安威脅風險也越大的情況下,歐盟網路資訊安全局也提供一種交互式地圖的網站服務,名為CSIRT網路地圖https://csirtsnetwork.eu/),協助遭到網路攻擊和資安威脅的企業和消費者,可以在CSIRT地圖中,找到適合提供協助處理資安事件的CSIRT團隊。

而我們的鄰國日本,對於企業打造CSIRT也採取鼓勵的態度。許多叫得出名號的大型企業,不僅會自行建置企業的CSIRT團隊,也會加入日本JPCERT/CC和日本CSIRT協會(Nippon CSIRT Association,簡稱NCA)的會員,有些大企業也會一併加入國際性的資安事件處理團隊FIRST。

相形之下,臺灣企業對於打造CSIRT團隊的觀念仍不普及。近年來,有些公司開始設置這類組織,例如,在2019年11月,臺灣銀行成為第一家自建CSIRT團隊的金融業者;其他打造CSIRT團隊的,有不少是提供資安服務的業者,例如,趨勢科技打造跨國CSIRT,協助各國客戶進行資安事件的鑑識和調查。

在今年1月,中山科學研究院資訊通信研究所也成立ICRD-CSIRT,這個單位除了整合國防領域廠商,完善國防領域資訊安全聯防體系,也提升國防領域廠商資安意識,增強資安自主防護能量,最終則要做到介接國內外資安情資,即時掌握網路威脅態勢,促進國防領域廠商資安事件應變效率。

企業打造CSIRT團隊的目的,除了扮演企業和資安社群的連接窗口外,同時,也會進行資安威脅的偵測;一旦爆發資安事件,也會進行資安事件鑑識與調查;找出資安事件的根因後,除了強化企業的資安防護能力外,也會分析與網路犯罪有關的事件和威脅,提出行動計畫以降低風險。

什麼是PSIRT?

相較於協助企業處理各種資安事件,產品資安事件應變小組(PSIRT)的設置相當特別,這個組織的存在,往往只專注於企業內產品所面臨的各種資安威脅所帶來的資安事件,也就是說,PSIRT主要目的就是,針對產品、解決方案、零組件,以及服務,所面臨的資安漏洞和引發的相關資安風險,專注於識別、評估和處理。

雖然PSIRT專注在產品安全性上,但也不能置外於其他部門運作,反而應該要和其他部門有良好的協調和溝通的合作模式。嚴格來說,PSIRT團隊會和企業產品的維護階段相關,因為多數產品一旦爆發安全漏洞,導致發生資安事件的同時,往往會造成產品品質下降。所以,PSIRT目的就是要解決產品引發資安問題,並且把對產品帶來資安風險的部分,經過修正後,再重新納入安全開發生命周期(SDLC)。

無論產品是軟體或硬體,國外有許多業者為了提升產品的安全性,像是AMD、IBM等,都在企業內部成立PSIRT團隊;臺灣近年來,也陸續有企業開始關注產品因為資安漏洞造成的資安事件,造成客戶對品牌和產品安全性的不信任,而決定在企業內部成立PSIRT,透過專門的團隊,持續關注企業產品面臨的資安威脅,以及對產品帶來的影響,像是群暉科技、威聯通以及合勤科技等,都已經在內部打造專門的PSIRT團隊負責產品安全性。

而First國際資安組織也在今年初,針對企業成立PSIRT的需求,推出PSIRT服務框架1.1版(PSIRT Services Framework ver.1.1)供各界參考。

相關報導:臺廠面對資安議題,將包袱轉成資產,PSIRT團隊變身企業競爭力


Advertisement

更多 iThome相關內容