2023年臺灣加入FIRST國際資安應變組織成員數量創新高，台積電、廣達、日月光入列

近年資安事件持續衝擊國內企業，持續做好防護與監控之餘，具備充分的事件應變能力也很重要，而且這並不只是個別公司的問題，同時也需更多企業與組織一起合作，彼此交換威脅情報與應變作為，而在推動全球資安應變協同合作的領域當中，國際資安事件緊急應變小組論壇（FIRST）扮演關鍵角色，而參與成員數量的增長，也反映大家對於資安的重視程度。

以臺灣而言，前幾年我們開始關注這方面的發展新態勢，發現已有少數資安與IT廠商相繼加入，到了2022年群創光電加入FIRST，更是開創國內電子製造業首例。

而在過去一年來，我們也察覺兩個重要的變化。首先，有越多企業與組織加入FIRST，數量從原本的12個增至17個，其次，在新進5家成員中，高科技及電子製造業就有3家，包括台積電、廣達、日月光，這些業界龍頭大廠的加入，似乎也反映著，近年臺灣高科技與電子製造業對資安的重視，比以往又再提升。

臺灣FIRST成員數量已達17個，過去一年新增5個

FIRST全名Forum of Incident Response and Security Team，存在目的主要是協助國際資安事故應變，提供威脅情資與各式資安事件調查技術的資訊，目前資安界普遍熟知的CVSS漏洞評分標準，也是由FIRST進一步研究發展與改善，例如，在兩個月前，他們新發布CVSS 4.0版，提供更細致的評分指標設計之餘，也增加漏洞評估的補充指標。

截至今年1月12日為止，根據FIRST網站公布的成員列表，全球現在已經有多達106個國家、710個資安應變團隊加入，這些成員來自多個領域，包括政府、學術單位、企業，以及資安業者。

論及FIRST成員所在的國家地區，美國最多（109個），其次為西班牙（55個）、日本（44個）、德國（38個）、法國（24個）、挪威（23個），以及英國（22個）、瑞士（22個）與哥倫比亞（22個）。

臺灣現有FIRST成員已有17個，尤其2023年有明顯暴增的趨勢，而這群共同鞏固臺灣整體資安的重要生力軍，包括：2月台積電TSMC-CIRC、微智安聯ShieldX PSIRT加入，3月是廣達QUANTA-CSIRT，8月是杜浦數位安全TeamT5 CSIRT，以及11月是日月光集團ASEKH_CSIRT。

這當中有兩家資安業者，3家高科技及電子製造業，而且都是全球知名的業界龍頭，包括晶圓代工的台積電，伺服器與筆電代工的廣達，以及IC封測代工的日月光集團。

在國際資安事件緊急應變小組論壇（FIRST）的成員中，截至今年1月12日止，全球總計有106國、709個資安應變團隊加入，美國成員數量最多，有109個，其次為西班牙，有55個，以及日本的44個。我們可從圖中綠色深淺看出數量差異，顏色越深、數量越多。

可獲得國際認可，資安形象提升，廠商聯繫擴展的優勢

加入FIRST的廠商與企業增加，對臺灣資安有何意義？

對此，我們先找到台灣網路資訊中心（TWNIC）組長林志鴻，請他談談對FIRST發展的觀察。事實上，TWCERT/CC從2001年就加入FIRST，最近幾年這一組應變團隊是TWNIC負責維運，2024年轉由國家資通安全研究院（資安院）接手維運。

關於過去一年有臺灣更多業界龍頭加入FIRST，林志鴻表示，顯然這些公司已體認到供應鏈資安的重要性，而加入國際的重要資安組織，對於企業的品牌、知名度，甚至客戶關係，也都會有加分的效果。

畢竟，隨著很多具有影響力的企業、組織、廠商加入FIRST，在在顯現世界各國對這方面的重視，再加上現在科技大廠的思維已經改變：過去重視Cost，現在則強調Trust。而這些因素的存在，成為我國各產業發展需考量的關鍵。

另一個更多企業願意加入的原因，不只是能因此取得第一手的情資，以及有相關教育訓練與研討會可以參加，還有一個更重要的原因，那就是：在FIRST組織的場合或活動，有許多國際上下游廠商出席，因此客戶與供應商聯繫更方便，或是利於開拓其他市場，也讓客戶可以更容易找到自己。

林志鴻指出，若要成為FIRST成員，其實企業本身需跨越一定門檻，並非填申請單、繳錢即可取得資格。

他解釋，從申請條件來看，加入FIRST，要有兩個成員的推薦，這是第一關。例如，我們從當前FIRST官方網站公布的資訊可以看到，台積電的加入，是透過奧義智慧的CCCSIRT、趨勢科技的TM-CSIRT推薦；廣達的加入，是透過群創的INX-CSIRT與安華聯網的Onward CSC推薦；還有微智安聯與杜浦數位安全（TeamT5）的加入，兩者均是透過TWCERT/CC與安華聯網的Onward CSC推薦。

接著，FIRST還會要求實地訪視提出申請的企業，並藉由許多問項來進行評估，以了解申請方的內部資安流程、政策、人員等方面的程度，需進行評估、被認為符合資格才能夠加入。他也透露，國內現在還有其他電腦周邊設備大廠，正在申請加入FIRST。

簡單來說，首先需要兩位FIRST會員推薦，接著進行Security Incident Management Maturity Model自評，再來是主要推薦者進行實地訪視，撰寫並遞交推薦報告給FIRST，最後是FIRST審查。

對於FIRST，我們找上2023年下半加入的杜浦數位安全，邀請創辦人暨執行長蔡松廷從資安業者角度提出觀察。

他表示，FIRST是個促進企業資安應變團隊交流的組織，可聚焦討論資安事件規畫應變相關的議題，在這組織當中，雖然看到不少資安業者參與，但其實這些廠商並非主要成員，國家級應變機構與企業才是！從製造業角度來看，大家可在此交流應變處理經驗與技術，更容易可以找到外部資源來合作，這些好處都是誘因。

既然如此TeamT5為何加入？蔡松廷表示，他們常發現很多分散在世界各地的受害者，無從向他們進行通報，因此希望透過加入FIRST，能夠幫助更多企業更快知道資安事件。

而且資安業者加入FIRST仍有不少好處，其中之一，當然是有助於品牌行銷，但蔡松廷表示，他們也看重與世界各地的企業資安團隊交流，了解他們的想法、運作和準備，TeamT5曾處理很多資安事件的應變，對於這方面的研究與經驗也不少，透過FIRST這樣的共同合作平臺，可以更容易與全球資安界的專家分享與交流。
 

新版漏洞評分標準CVSS 4.0登場

國際資安應變組織FIRST在2023年11月，針對普遍使用的漏洞風險評分系統（CVSS），推出4.0版，這是2019年6月CVSS 3.1版推出後，時隔4年的重大改版。

為了更好傳達軟體漏洞的特徵和嚴重性，新版對於嚴重性的分數呈現，有更精細的設計與改進，最明顯的變化就是，不只是基本分數的CVSS-B，還有基本評分加上威脅的評分CVSS-BT，基本加上環境的評分CVSS-BE，以及基本加上威脅、環境的評分CVSS-BTE。

同時，新版還增加幾項不影響評分的外在屬性標籤，例如：安全性、可自動化（可蠕蟲化）、恢復、價值密度（Value Density）、漏洞回應的努力，以及供應商急迫性等。另外，也對OT、ICS、IoT類型的系統，提供額外評估指標。