這幾年來,政府持續推動國家級資安戰略與資安聯防,從2009年成立政府資安資訊分享與分析中心(G-ISAC),到近年推動8大關鍵基礎建設領域,打造產業領域的ISAC,並將各領域原有類似資安維運中心(SOC),以及電腦緊急應變中心(CERT)的機制,能夠完善地建立起來。目前,8大CI領域的ISAC,大多在2017年底完成,後續這幾年則是陸續建立起CERT,以及二線的SOC。關於不同領域的發展情形?近期國家通訊傳播委員會(NCC)公布了他們的執行現況

關於我國通傳網路資安防護的完備程度,NCC委員孫雅麗表示,他們在近年已有多項行動。

首先,在2017年建構國家通訊暨網際安全中心(NCCSC),並在2018年完成南部異地備援中心,確保運作能力,目前中心內已設有4大單位,包括掌握通訊網路運作狀態的C-NOC,情資分享交換的C-ISAC,負責資安緊急應變中心的C-CERT,以及二線資安維運中心的C-SOC。

面對私領域的面向,在資安通安全法要求下,NCC已指定通傳領域的關鍵基礎設施(CI),負責協管的特定非公務機關,共涵蓋6大產業,包括有線電視、廣播、衛星、固網、行動與無線網路,以及網際網路連接的IASP、IXP與DNS等。因此,NCCSC的任務,就是將這6大產業領域廠商的資訊,進行蒐集整合與分析,目前已經涵蓋95家通訊、傳播領域業者。因此,NCCSC的任務,會將這6大產業領域廠商的資訊,進行蒐集整合與分析,目前已經涵蓋95家通訊、傳播領域業者。

促進產業對資安議題的認知,多面向推動通傳領域設備安全

在NCC近年在通傳領域聯防體系的執行過程中,孫雅麗說明了他們的經驗與新進展。

例如,在NCC提出的通傳網路資通安全維護計畫中,以5G系統資安維護計畫為例,當中除了參考布拉格提案,以及歐盟5G網路安全風險聯合評估報告,並依據NIST CSF提出17項內容,讓業者能依此參考框架,提報計畫參考並進而落實執行。孫雅麗強調,在識別的面向中,除了要有政策、目標、核心業務與維護範圍,以及資安長的配置,她強調,也要有專責人力與經費的配置,否則都只是空談。

對於CI提供者的納管,主管機關必須全部有所掌握,建議以逐年納入方式進行。NCC在這三四年來,已陸續將上述所有領域業者納入,不過,後續對於資安事件通報的掌握,還有一處地方需注意,孫雅麗表示,初期NCC曾遇到,這些業者沒有即時通報資安事件的狀況,因為業者往往可能想多蒐集一些資訊再通報,因此,需要讓業者瞭解即時通報的重要性,之後有更多資訊,可以再陸續通報進來。

為確保關鍵電信基礎設施資通安全,NCC近期還有幾項重要工作。孫雅麗指出,NCC今年新成立國家級通訊軟體領域安全實驗室(NCSS Lab),將協助5G網路業者、第三方服務商與IoT製造商,完成5G相關軟體安全測試。該實驗室原定年初建立完成,但因疫情影響場地施工延宕至年底

同時,NCC新訂定的「關鍵電信基礎設施資通設備資通安全檢測技術規範」,在今年7月正式上路,當中明訂取得審驗合格證明的資通設備,仍應持續進行弱點及漏洞的修補,並針對CVSS評分的嚴重性,提供不同緩衝期限。

舉例來說,若是在檢測機構測試階段,發現中風險的弱點,將需在30日內,提供測試報告以佐證修補完成,如果是在設備取證後,有新的CVE弱點遭到揭露,將需在45日測試報告佐證已完成修補;如果測試階段發現高風險漏洞,該測試項目將以不合格計;若取證後有新CVE弱點被揭露,則將暫停審驗合格效力。

另一方面,NCC規畫的通傳事業資通設備的資安漏洞通報系統,在今年底也將完成系統設置,進一步推動設備商做好更新修補。

此外,對於物聯網裝置的面向,前兩年NCC已與經濟部合作,建構物聯網資安認驗證體系,這項計畫持續發展,在2021年8月,新通過了無線寬頻分享器產業標準

NCC在2021年1月新訂定「關鍵電信基礎設施資通設備資通安全檢測技術規範」,今年7月1日正式生效,當中明訂設備商申請認證的資通設備在取得審驗合格證明後,仍應持續進行弱點及漏洞的維護。(圖片來源:NCC)

繼前幾年公布「智慧型手機系統內建軟體」及「智慧音箱」資通安全檢測產業標準,今年又有新物聯網裝置資安標準出爐,以NCC的部分而言,在2021年8月19日新發布通傳領域無線寬頻分享器資安標準。(圖片來源:NCC)

資安跨域聯防將邁向主動式防禦

特別的是,在資安跨域整合聯防的布局上,孫雅麗新揭露NCCSC今年開始的一項重要計畫,當中將發展主動式防禦,建立早期預警。

她表示,這個主動式防禦的特色,是藉由擬真誘捕系統蒐集網路攻擊活動,同時將建構大數據AI分析平臺,以分析潛在攻擊模式,並建立攻擊特徵資料庫。

簡單來說,當中包含了真實的設備、誘捕系統,並將創造具欺騙性的互動,同時,會在隱私保護之下,採用自動化、AI與Big Data技術,建立具有主動式防禦能力的資安分析系統,而在資安大數據分析方法論的建構上,也將持續精進,從攻擊Pattern的探勘,到多工式學習(Multi-task AI learning)。

關於主動式防禦的推動與導入,顯然已成為我國資安跨域整合聯防的新焦點,對此,NCC已提出「自動化及智能化主動式防禦以創建具韌性之國家關鍵通傳網路」的計畫項目,將分為4年持續投入。事實上,不只NCC通傳會,行政院資通安全處與金管會也在資安策略推動上,提及主動式防禦的相關計畫。目前看來,相較於其他8大CI領域,NCC推動的腳步較明朗,也帶動國內資安跨域整合聯防,在事前預防資安威脅的面向上,能有更進一步的作法。

熱門新聞

Advertisement