全球資安威脅層出不窮,中央政府機構聯手各單位,朝「主動式防禦」方向積極落實各項資安防護。掌管台灣許多關鍵基礎設施的交通部,利用中芯數據提供「意圖威脅即時鑑識IPaaS」服務,其即時分析、完整通報、簡單處理等特性,幫助交通部等公部門在資安人員有限的情況下,建構完整資安聯防體系,確保資訊安全。
交通部管理資訊中心操作組組長呂世暘表示,交通部主管範圍除海、陸、空交通運輸外,郵政、觀光、氣象等也屬其範疇,可說掌管許多關鍵基礎設施,其他如政府開放資料(Open Data)、智慧運輸等議題,也屬交通部管理範圍,各單位間也落實情資分享。
目前呂世暘所屬的部門為交通部管理資訊中心,負責部內基礎設施與交通部相關資安防護與資安規畫等。他說,原本這是任務編組,未來組織改造後,將改為「交通科技及資訊司」,為一正式業務單位。
呂世暘表示,隨著資通法上路,交通部資安政策也跟隨資通法要求,包括主動式防禦等方面,均會依政策完成相關作法與措施。交通部目前採取的資安防護,除了基本防火牆等法規要求相關項目外,目前是MDR,以及研究中的「零信任」網路資安架構。
他說,目前數發部仍以A級機關優先導入零信任架構,交通部屬B級機關,導入零信任架構時間點沒那麼快,但他們已開始研究相關設備與產品。
交通部管理資訊中心操作組組長呂世暘(左) 及 中芯數據首席資安顧問孫維嶸(右)
MDR:「人」才是真正的重點
在MDR方面,交通部早在民國104年就已導入EDR。呂世暘說,那時候導入EDR後,須由內部資安人員自行判讀、分析所有告警資訊。
呂世暘說,前幾年他們使用EDR後,發現他們有時無法判斷告警資訊究竟是不是攻擊行為,其次是每日告警數量實在太大,大多數最後都認為是誤判,資安人員工作量大增,有時不得不乾脆放棄這些告警訊息,將資訊刪除。與中芯數據接觸後,了解他們有提供「協助判讀EDR」服務,決定引進該公司系統。他說,中芯數據協助判讀這些告警訊息後,減緩交通部資安人員工作量,且透過他們的專業,攔截到真正入侵攻擊行為,對交通部幫助很大。
中芯數據首席資安顧問孫維嶸表示,公部門、企業資安人員,本身就需監控三至五個以上資安設備,若再加上端點設備上的資安訊息,對資安人員來說負擔相當大。
孫維嶸解釋,過去類似的SOC服務,由於無法看到細節,有時看到一個告警,需問客戶方資安人員「此動作是否是你們正常行為」,但客戶不見得知道,他們可能是產品最終使用者(end user),不知道自己做過什麼,最終這件告警就變成羅生門。
MDR好處是幾乎跳脫人的行為模式,以程式本身行為為主,看的是程式本身下的指令跟動作是否合理,在這個層級下,與產品最終使用者無關。
孫維嶸說,中芯數據在分析、判讀告警資訊有兩階段,首先是透過AI,由AI在幾億個行為上尋找風險較高者,這是現在市場上大家都會運用的方式,但「人」才是真正的重點。
他說,中芯數據意圖威脅即時鑑識IPaaS服務,有專業團隊每日分析,即時將告警資訊傳給客戶單位,通報當下即提供來龍去脈,客戶端資安人員不用進行額外資料收集。團隊也會很快速針對各情資事件提供有效的解決方案與完整報告,做到「即時分析」、「完整通報」、「簡單處理」。
直覺處理的資安防護
除MDR自身技術外,呂世暘說,交通部在尋找相關MDR產品時,提出「隱藏安裝的代理程式(Agent),避免使用者可能會將其移除,及使用者無法將代理程式移除」等要件,中芯數據提供的服務均可滿足這些要求。
孫維嶸說,現在的MDR建立在EDR產品上,需在端點設備上安裝代理程式,不讓使用者看見代理程式,是避免使用者有被監視的觀感,也避免讓駭客主動刪除,公司提供的代理程式,一定是能抗刪,也能抗「繞過」。
呂世暘說,目前交通部管理資訊中心編製21人,實際負責資安業務約六人,人力並不算多。除希望有人代為監看、判讀告警資訊外,也希望真的偵測到入侵行為時,他們能了解「危機如何進來,哪裡有漏洞,該如何補救」。
他說,過去合作過一些廠商,他們的EDR服務僅提供告警訊息,後續判讀、解決需他們自行處理,「但我們有時連分析,判斷都有問題,如何知道怎麼補漏洞?」因此中芯數據提供的即時處理服務對交通部的資安防護助益非常大,能夠提供更加全面的保障。「他們的專業團隊能夠快速反應並解決問題,確保資訊安全得到妥善維護。這樣的合作為交通部在數位時代中的運作提供了可靠的支援,讓我們能夠更加安心地並快速處理問題」。
孫維嶸說,除協助客戶端判讀這些訊息外,更要讓客戶端資安人員可很快速直覺的進行事件處理。IPaaS服務提供的通報相當明確,特別是簡單易懂,「只要懂中文,會使用滑鼠、鍵盤」即可。
此外,該產品還提供「遠端一鍵刪除」功能,只要能遠端監控防火牆,進入當地系統內,總公司可直接刪除惡意行為,完全不需配備其他人力,也不需長途跋涉至公部門、企業其他分支單位。
目前高雄市政府及部分稅務單位,也利用中芯數據提供的服務把關資安。