資安院通報應變中心主任孫偉哲表示,TWCERT/CC最新變化在於將以情資驅動公私領域資安聯防。(攝影/羅正漢)

為了提升臺灣民間企業的資安能力,不僅依賴個資法對全體企業的規範,以及金管會對上市櫃公司提出的各項要求,政府在協助企業提升資安能力方面,台灣電腦網路危機處理暨協調中心(TWCERT/CC)扮演著重要角色。

隨著2024年元旦資通安全研究院(資安院)接手TWCERT/CC,各界都關心他們後續如何進一步協助民間企業。4月他們公布發展計畫,預告將持續推廣共同參與,拉攏更多企業加入TWCERT/CC免費會員,時隔超過半年的此刻,資安院在2024台灣資安通報應變年會,揭露目前最新相關進展。

其中TWCERT/CC會員數的增長是焦點之一,目前已有1,699家民間企業加入,相較於今年年初的1,260家,數量增加449名會員,比例已成長35%。

關於深化情資分享的具體做法,TWCERT/CC最近更是有了全新的策略,強調將以情資為主的溝通,扭轉大家對於通報的刻板印象。特別的是,他們還闡釋了4大情資類別,涵蓋活動預警、駭侵事件、漏洞情資與IoC,希望外界可以更能明白情資內容與應用,同時也公布了成功開發電郵陷阱機制,以及與Shadowserver基金會合作等進展。

將逐步以情資為溝通基礎,而非以事件通報角度來溝通,以利情資驅動的資安聯防

資安院院長何全德強調,資安問題已不再是單一國家、企業或組織可以獨自有效解決,在資安院接手TWCERT/CC後,希望將過去技服中心的經驗,也能有效用於服務廣大的臺灣民間企業。

關於TWCERT/CC的發展現況,由資安院通報應變中心主任孫偉哲上場說明。由於該場議程的TLP情資分級為「綠燈」,僅限領域內部人員使用,因此我們會後徵詢孫偉哲同意,揭露當中可公開的重點。

他首先強調,TWCERT/CC為促進資安情資分享,將以「情資」取代「通報」的概念,這是其未來服務方向的一項全新轉變。

為何會有這樣的改變?主要原因是,在過去一年推廣情資分享的過程中,他們發現民間企業較不願以通報角度來分享資訊,認為通報是嚴謹且繁瑣的程序,這也導致降低了參與意願。但情資聯防上的重點在於,藉由快速分享威脅情報,讓其他企業能防範同樣的攻擊。

因此,TWCERT/CC希望以「情資」為溝通基礎,幫助企業理解其在聯防合作中的重要性。

雖然大家可能對於情資、通報的定義還很抽象,因此孫偉哲繼續解釋,情資分享的重點並非提供事件的全貌,而是主要聚焦於:遇到何種類型攻擊、可能攻擊標的、入侵指標(IoC)、攻擊手法等。

換言之,情資分享並不是分享多少電腦伺服器受害,是否資料外洩等,這些內容對第一線聯防並無價值,無法幫助其他單位的聯防準備。

因此孫偉哲指出,TWCERT/CC將逐步以情資角度來溝通,而非以事件通報為角度來進行溝通,這是後續推動上的調整重點。

至於具體有哪些調整?對此,我們首先聯想到,這應該是指TWCERT/CC網站的服務頁面上,可以找到「一般資安通報」的線上服務。孫偉哲的回應是:未來TWCERT/CC的對外服務網站確實將進行全面改版,會以情資的角度,讓民眾與企業協助提供相應的資訊,以幫助提升聯防的成效。

綜觀此一變化,我們認為,過去TWCERT/CC為了幫助企業遭遇資安事件的應處,提供事件通報的管道,隨著2023年他們發布企業資安事件應變處理指南,如今他們顯然更強調在聯防與情資交流。

提供會員4大情資類別,中小企業受益最大

在以情資驅動的聯防上,TWCERT/CC會員究竟可獲得哪些具體內容?孫偉哲表示,主要有4大情資類型,分別是:活動預警、駭侵事件、漏洞情資,以及入侵指標。

而我們也好奇,這4大情資類型是否今年才開始畫分?他表示,過去TWCERT/CC就會將情資提供給會員,如今資安院接手維運的新作法就是,依照過往經驗將情資類別明確化,希望讓會員可以較能明白情資內容與應用,例如:

(一)活動預警情資
TWCERT/CC將研析外部提供的企業攻擊事件情資,從中發現共通性、淺在攻擊活動,提醒相關企業及早防範。他舉例,當發現一個針對特定領域的攻擊,雖然該企業可能不是正在被攻擊的對象,但接獲情資、知道風險可能上升時,就能預先做準備。當然,這也仰賴情資的價值程度,才能讓防範上更有針對性。

(二)駭侵事件情資
會根據外部或自主發現的攻擊事件情資,將相關資訊經分析後提供遭駭企業應處。例如TWCERT/CC在暗網、地下論壇發現有一家公司資料被販賣,一旦發現這樣的情資後,他們就會協助通知該公司。

基本上,這應該是企業應該主動監控的範疇,但為了幫助更多缺乏資源的中小企業,因此TWCERT將協助通知,避免國內企業未能掌握此狀況。至於外洩資料是否為攻擊者設置的煙霧彈,或企業是否真正受害,仍需要收到情資的企業自行判斷與調查。

(三)漏洞情資
不論是已知漏洞未修補,或是零時差漏洞的問題,由於近年駭客經常利用漏洞作為攻擊起始點的態勢,因此企業必須有所掌握。當然,所有漏洞修補其實都有其重要性,不過,TWCERT/CC會更著重在高風險漏洞層面的分享,因為這些漏洞威脅更具急迫性。

因此,他們每星期會參考美國CISA公布的已知漏洞利用清單,並彙整新遭利用的漏洞,同時也會統整出相對影響較高的漏洞,以及CVSS風險評分較高的漏洞,供廣泛的TWCERT/CC會員可以檢查,是否有受影響的設備,以及是否已經安排更新修補。

(四)入侵指標情資
基本上,IoC入侵指標的全名是Indicators of Compromise,主要是用於辨識惡意活動或安全事件的具體證據或跡象,包含IP地址、網域名稱(DN)、惡意檔案的HASH值,可以幫助資安團隊快速識別威脅。

孫偉哲表示,如果不知道面對特定威脅該如何防護,也可以把這些情資部署於防護設備、設為黑名單。這對於普遍資源不充沛的中小企業而言,至少能有防護行動的開始。

開發電郵陷阱機制,與Shadowserver合作,未來還將提升情資自研能量

之所以有上述4大情資類別能夠交流分享、促進聯防,背後其實也仰賴多方威脅偵測的蒐集,才能產出這些預警情資。

因此,TWCERT/CC日後也希望,有些情資可以是由自身研究來發現,進一步提升情蒐預警能力,而不像過去這方面的業務型態,全是仰賴從外部收到的情資,或是購買而來的情資。

之所以有此改變,是因為過去計服中心在協助公務機關時,本身就會自己研究取得情資,因此資安院如今也希望將這樣的能量也用在民間企業,這會是未來一個重要發展方向。

在促進情資交流上,現在TWCERT/CC也採取更積極的態度,像是針對發布資安重訊的上市櫃公司,他們會主動聯繫這些公司,詢問是否能協助提供IoC以利聯防。而且,目前也確實有企業願意分享這些入侵指標。

在國內資安事件分析上,孫偉哲也揭露幾項統計數據,我們特別關注以下幾點,例如:在國內資安事件分析上,以今年2024年(至10月底為止)而言,勒索攻擊事件比例最高,佔所有事件的44.68%;在CVE漏洞審查方面,今年TWCERT/CC已公告130個CVE漏洞,當中多屬高風險漏洞;在惡意檔案檢測服務VirusCheck上,TWCERT/CC收到1,645筆可疑檔案需要檢測,以民間企業使用率最高,共發現44個惡意程式、12個IP位址與16個網域名稱。

在國際情資分享上,今年TWCERT/CC已接獲1,660件國際資安情資,當中以惡意程式相關情報佔45.84%,比例最高。

特別的是,他們也提到與國際組織Shadowserver基金會合作,共同研析國內產品資安漏洞,希望進一步提升台灣資安產品在國際市場的可信度。

而在技術創新方面,TWCERT/CC也成功開發了一項自主電郵陷阱機制,專注於捕捉針對電子郵件的威脅行為,希望藉由發展更多威脅資訊來源,持續擴展自身的情蒐預警能力。

總體而言,TWCERT/CC情資分享的聯防,不只是鏈結公私協力聯防,更著重幫助為數眾多的中小企業;若是將聯防範圍縮小,則有來自產業間的聯防,像是國內已有高科技資安產業聯盟,可涵蓋眾多供應商、供應鏈,做到更深入的情資交流。

此外,數位發展部政務次長闕河鳴也現身這場年會,並透露他們正在推動國安層級的資安應變中心。畢竟,現在資訊安全的領域已從傳統的網路安全攻防,結合認知作戰,形成混合戰爭,因此從最整體國安角度來通盤考量更顯重要。

熱門新聞

Advertisement