料敵機先！嘉義縣財政稅務局 部署中芯數據 IPaaS，不讓駭客染指 民眾財產資料

去年（2019）11 月，嘉義縣財政稅務局舉「強化資安防護前瞻作法發表暨研討會」，吸引全臺 22 縣市的地方稅稽徵單位踴躍與會，只為了借鏡學習兩項資安創舉。其一是資安地圖，藉由設備和辦公室配置圖結合資安事件警訊，讓管理者即時掌握事件訊息；另一項更受矚目，是嘉義縣財政稅務局首開稅務單位先例導入「託管式偵測及回應」服務（MDR）。

嘉義縣財政稅務局局長蕭俊明表示，該局基於地方稅稽徵所需，掌握縣民財產資料，自知機敏資料保全責任重大，遂從 2008 年起大力推動資安作業，除執行 ISO 27001 驗證外，更積極導入各種防禦機制，至今已建置 26 項之多。但道高一尺、魔高一丈，駭客攻擊手法日趨精進，為有效阻擋新型態的攻擊手法，該局必須在資安防護上持續進步；為了料敵機先，在去年七月導入 MDR，透過系統整合夥伴神通資訊的協助，成功啟用中芯數據的「意圖威脅即時鑑識服務」（IPaaS）。

「去年某機關驚傳個資外洩，讓我們不敢大意，盡力避免類似情節發生在自己身上，」蕭俊明說，在得知事件後，他立即指示電子作業科展開評估，思索是否需要引進新的防護措施；電子作業科經過測試與各方面評估後，建議採用中芯數據的 MDR服務，此提案獲得蕭俊明的支持而正式成立。

蕭俊明更進一步指出，畢竟民眾財產資料非同小可，需謹慎處理，才能維繫人民對公務機關的信任；為此嘉義縣財政稅務局勇於嘗試新的資安防禦機制，更樂於把相關成功經驗分享給更多機關，一起努力做好資安，共同提升整體財稅資料安全。去年發表會後，陸續有 5 個縣市稅捐稽徵單位也決定佈建 MDR。

結合外部力量，有效抗禦新型態的惡意攻擊

嘉義縣財政稅務局電子作業科科長何宏明指出，去年某機關爆發個資外洩事件後，局長問他，此事會不會出現在該局？他坦言「有可能」。雖然該局已在網路入口架設 IPS、Firewall、WAF 等防禦設備，且在內部各端點也導入防毒軟體、上網行為 監 控、身份驗證等措施，每臺電腦也配合縣府規定都套用政府組態基準

（GCB），但一些出現資料洩漏事件的機關也做了這些，證實政府機關的防禦一定還有不足之處。

透過參加去年初IThome 所舉辦的臺灣資安大會，我們發現主要癥結點在於新型態的攻擊手法，例如無檔案式惡意程式（Fileless Malware）日益增多，透過特製腳本直接寫入電腦記憶體、讓電腦偷偷執行命令；此類惡意程式屬於「未知」而非「已知」，傳統的防毒軟體掃不到，故需借助 MDR、持續監測與利用人工智慧分析每臺端點設備的行為以及各程式間的關聯，才能找到逼使它們現形。

有人問過，為何是 MDR 而非 EDR（端點入侵偵測與回應）？何宏明娓娓說明，電子作業科現有編制 15 人，大多負責核稅、銷號、劃解等稅務資料處理工作，僅 3 人具資訊背景，但並非資安專業體系出身。

該科負責管理逾 370 臺端點，其中 200 餘臺電腦用於執行稅務作業、在內網實體隔離，另 170 臺能上網際網路；以去年 MDR 專案概念驗證（POC）為例，單單這 170 臺外網電腦，一個月便產生 8 億多筆行為資料，試想單憑 3 位資訊同仁，怎可能自行利用 EDR 工具快速解析端倪？後續怎可能遵照資通安全管理法規定，在規定時效內完成資安事件的損害控制和復原作業？因此必須結合外部力量，MDR 服務就是正解。

引進  IPaaS  服務，兼能清理餘毒、防範新攻擊

電子作業科於去年 5 月開始執行 POC，同步建立封閉實驗室環境，以便利用隔離網段「餵毒」，測試 MDR 能耐之餘更避免病毒亂竄。接著再把 MDR Agent 實際部署到各科室電腦，觀察是否影響電腦效能、是否與防毒軟體或財產管理軟體產生衝突。

歷經近兩個月驗證，嘉義縣財稅局擇定採用IPaaS。對此何宏明表示， IPaaS 是純正 MDR，背後有中芯數據的 CoreCloud APT SOC，7 X 24 協助用戶監測端點，並透過大數據分析與 AI 能量，即時挖掘異常行為並發送警訊，一併提供應變建議及「一鍵清除」機制，同時產出詳細報告，舉凡惡意程式如何進入、哪臺電腦是 0 號感染源、後續又感染哪些電腦，通通直覺呈現；更重要的，IPaaS 事件鑑識服務次數並無限制，相較於其他產品的事件處理次數上限，有價格上的優勢。

不僅如此，包括原廠中芯數據、SI 夥伴神通資訊，貼心做到幾件事，令電子作業科備感讚賞。首先大力支援封閉實驗室設置計畫，給予完整的規劃建議。

其次嘉義縣財稅局先前已導入 SOC 服務，主要收集並分析網路安全設備和重要主機的日誌記錄，為避免通報來源過多，中芯數據因應電子作業科要求，承諾協助統整，成功將 IPaaS 的報告併入此 SOC，再由 SOC 統一通報；而當 SOC 發出可疑示警時，中芯數據也樂於協助進行雙重確認。

總體來說，何宏明認為 IPaaS 能夠為用戶帶來多重價值，第一是可協助單位發現潛伏多時的惡意程式，第二是可即時阻擋各項新型態攻擊，有效補強公務機關的資安人力與能量缺口。他強調稅務是一體的，各縣市稅捐稽徵單位同在一個財稅內網作業，亟需相互支援、共同提升防禦能量，因此期望分享嘉義縣經驗，促成其他縣市稅捐稽徵單位引進 MDR，儘可能將資料洩漏風險減至最低，確保民眾財產資料安全。

APT 事件處理 0809 016 818 / www.corecloud.com.tw