盧森堡NC3揭露歐洲資安經驗，打造資安觀測平臺助中小企業提升網路威脅能見度

近期臺灣與歐洲交流熱烈，臺灣資安大會今年呼應這股國際趨勢，特地邀請盧森堡網路安全能力中心（National Cybersecurity Competence Center，NC3）專家親自到場演講，闡述他們最新發展的資安計畫，如何幫助該國的中小企業，特別的是，我們也趁此機會了解NC3在盧森堡與歐盟的定位，並認識到歐盟的網路安全政策，以及這些規範如何進一步落實到各成員國。

打造情蒐平臺並建構風險模型，聚焦讓威脅資訊可容易理解

NC3本身是隸屬於盧森堡經濟部所資助的機構盧森堡資安之家（Luxembourg House of Cybersecurity，LHC），任職於NC3、負責資安威脅觀測平臺的計畫主持人Carmelo Dimauro表示，他們的使命，主要是針對資源有限的中小型企業，協助其增強預防風險的能力，促使這些組織在網路安全領域，變得更有韌性。

這個資安觀測平臺如何運作？Carmelo表示，該平臺全名為Threat Observatory Platform，主要目的是蒐集資訊，並試圖將這些技術導向的資訊，轉化為每個人都容易理解、運用的形式，供盧森堡的中小企業使用，因這類公司普遍無足夠能力制定積極的戰略，而不易實現網路安全，所以他們從這些組織的角度出發，設法提供網路安全威脅資訊。

為了實現此一目標，Carmelo 提到要有兩個關鍵配合，首先是平臺背後所使用的2大工具，另一重點是他們開發了非常簡單、易懂的風險模型，使不熟悉這些資訊的人都可以理解。

其中一套工具，是開放原始碼軟體的威脅情資平臺，名為MISP Threat Sharing，可蒐集並分享網路威脅和風險的指標；另一個工具是處理可疑郵件的SPAMBEE，專門用於蒐集垃圾與釣魚郵件的數據，之後再分析這些資訊。

以分析層面來看，涉及上述風險模型，涵蓋威脅、漏洞、受害、後果等4大部分。

具體來說，他們開發的這套風險模型首先有兩個構面：一是危害與威脅的面向，描述構成攻擊過程的要素，包含威脅者、攻擊手段、管道等；另一是受害的面向，描述可能導致影響過程的特徵要素，包含內部管道、目標、衝擊。

而兩個構面之間的連接點，稱之為存取點，而這個點就是我們所熟悉的資安漏洞，包含弱點、後門等，使攻擊者能滲透到受害者環境當中。

最後還有後果的構面，更重要。Carmelo強調，因為我們常常要跟所有人解釋發生的事故，由於這部分涵蓋網路攻擊對發動此行為者的收益，包括獲取金錢，竊取重要資料，以及受害者損失金錢與聲譽，若盡可能掌握這些資訊，將有助於受害者理解並提高意識。

畢竟，每次網路攻擊的背後，總是存在所謂的策略、目標、目的。如果一般人能明白這些，將可更容易理解為何自己受到攻擊、為何自己「易」受攻擊，以及從攻擊者來看、何以自己是有價值的。

整體而言，這個平臺就像個功能更強大的威脅情資工具，因為他們會利用威脅情報的結果，並透過這樣的模型與框架做到關聯對應，並根據其他已知的資訊來交叉比對。另外，由於這些資訊的內容組成屬於非結構化的資料形式，因此他們也運用自然語言處理技術，來檢測資訊的價值，根據模型對資訊進行分類，並標示重要的部分。基本上，他們就是透過這樣的方式，將資訊解構為可理解的內容，並公開發布。

當然，盧森堡網路安全能力中心不僅僅給予觀測平臺所提供的資訊，也提供教育計畫與培訓項目，教導企業人員認識其重要性，以及如何理解與使用。

關於此計畫的發展經過，Carmelo Dimauro提到他們兩年前開始思考這項計畫，成員共有4個人，一開始花了許多時間思考他們想要做什麼，同時也針對中小企業需求的調查，以及供應商能力的調查，進一步完成系統建設、平臺營運，以及定期分析。

在盧森堡NC3資安威脅觀測平臺計畫之下，之所以能分析蒐集到的資訊，關鍵是他們設計的風險模型，當中涵蓋威脅與受害者的構面，而介於這兩者之間的存取點（Point of Access）能幫助理解為何受攻擊，最後的結果（Consequence）也能突顯攻擊者收益與受害者損失。特別的是，Carmelo Dimauro也說明了該風險模型與開源威脅情資平臺MISP，以及MITRE ATT＆CK框架的對應項目。

Carmelo Dimauro展示了觀測平臺的整體架構，說明他們是如何蒐集資訊與分析資訊，最後將簡化易理解的資訊提供給外界。

在盧森堡網路安全能力中心（National Cybersecurity Competence Center，NC3）所建構的Threat Observatory Platform平臺中，也會發布季度報告呈現趨勢變化。

支援歐洲網路安全創新與產業政策，ECCC是重要關鍵

向參加臺灣資安大會的人們介紹NC3的觀測平臺計畫之餘，我們也趁Carmelo Dimauro這次來臺，詢問盧森堡NC3與歐盟之間的關聯。因為，大家過去可能從資安新聞了解歐盟頒布許多網路安全政策，以及歐盟本身設有網路安全機構（ENISA）這類機構，但大家還是很好奇歐盟有哪些資安推動方式？

對此，Carmelo表示，歐盟是一個共同體，在歐盟執委會的帶領下，制定歐盟的法規，提供一些政策與標準，每個成員國都必須實施這些政策。

以網路安全層面而言，為了確保歐盟成員國都實施相同的戰略，因此需要有跨境合作，或是至少需要協調。從國家層面來看，歐盟建立歐洲網路安全能力中心（European Cybersecurity Competence Centre，ECCC），此一執行機構位於羅馬尼亞的首都布加勒斯特，目標是提高歐洲的網路安全能力與競爭力，並在27個成員國設置國家協調中心（National Coordination Centre，NCC）。特別的是，去年2022年，盧森堡接任ECCC主席國，並由盧森堡資安之家創辦人兼執行長Pascal Steichen擔任主席。

在這樣的運作架構之下，主要透過ECCC與國家協調中心（NCC）的密切合作，形成支持網路安全創新和產業政策的新框架，以確保整體策略的發展，同時也監控歐盟成員每個國家的實施情況。

Carmelo表示，以盧森堡NC3而言，除了本身推動的多項計畫與任務，他們也被指定，扮演國家協調中心的角色，因此負責了相關工作。

例如，對於來自執行歐盟執委會的法規，NC3將確保該法規在盧森堡的有效實施，也會從ECCC獲得預算，以支援當地生態系統發展。

當然，所有歐盟成員國在此方面都擁有相同的結構、政策與活動，不論是比利時網路安全中心（CCB）、義大利國家網路安全局（ACN）、荷蘭企業署（RVO）、法國國家資訊系統安全署（ANSSI）、西班牙國家網路安全研究所（INCIBE）等，也都是被指定為ECCC體系之下的國家協調中心。

Carmelo強調，這麼做的目標是為了增加資安韌性，不僅是單一國家的韌性，而是歐洲共同體的韌性。當然，每個國家在資安政策的規畫與執行上，還是可以自行決定是否要做到更多。

至於像是ENISA這樣的歐盟資安單位，Carmelo Dimauro表示，這是一個技術導向程度更高的機構。例如，他們會研究更安全的資訊系統，監測網路威脅與技術的發展，幫助偵測與回應資安問題等。

回到盧森堡本身來看，在國家網路安全防禦上，若以盧森堡網路攻擊防禦與網路安全跨部會協調委員會而言，可分成兩個面向來看，一是針對公部門方面有GOVCERT.lu，另一是針對私部門，目前LHC下有兩機構——除了上述的NC3，還有盧森堡電腦緊急應變中心（CIRCL）。