鑑於近來駭客組織攻擊對象已從傳統企業,延伸到金融機構並可能影響到國家民生基礎設施,儼然已成為影響國家安全不容忽視的威脅。行政院資安辦在2016年改組成立資安處時,也考量到在駭客網路攻擊已無國界的趨勢下,台灣不可能獨力保護國內關鍵資訊基礎設施的安全性,唯有透過TWCERT/CC串連全球資安聯防體系,強化國際資安事件的通報應變能力,才能保護臺灣數位國土的安全。
TWCERT/CC 成立於 1998年,該組織最早期由國立中山大學營運,並陸續在2001年加入國際FIRST組織、2003年加入亞太區APCERT組織,2010年則交由台灣網路資訊中TWNIC 代管維運。因早期網際網路並未普及及資安通報與應變程序並未受到重視,所以TWCERT/CC僅做較小規模之營運,所以一般民眾對TWCERT/CC是相對陌生的。因現今網路已相當普及,且跨境資安攻擊事件頻傳,考量到TWCERT/CC是臺灣處理網路安全事件的重要對外窗口,負責台灣與世界各國CERT組織聯繫和溝通的任務,因此自2015年開始由行政法人國家中山科學研究院(NCSIST)接手維運,期盼藉重中科院的資安研發團隊,介接國際與軍民,以提高台灣對資安威脅的應處能力。
TWCERT/CC主任陳永佳說,TWCERT/CC為台灣處理網路安全事件的重要對外窗口,與世界各國CERT組織互惠合作及情資共享,以加速國際跨境資安事件通報與協處; 並介接國內各領域資安應變組織,強化資安事件處理能量,縮短應變時效,此外也宣導推廣企業建置CSIRT,提升台灣民間企業整體資安聯防能量。目前TWCERT/CC主要業務包括:推動民間資安事件通報與協處、與國際資安組織合作交流、蒐整與分享資安情資、民間資安意識養成及宣導,而其中最重要的任務是民間資安意識養成。
建議企業成立CSIRT 可提升資安防護能量
面對瞬息萬變的全球資安趨勢,現階段TWCERT/CC業務推動方向主要為應變協調、通報處理、交流合作、情資發佈等方向發展,並透過積極參與國際活動、接軌國際情資分享(ISAC)的機制,掌握最新資安情資,提升台灣對抗國際資安威脅的能力。例如在2017年WannaCry、Petya等勒索軟體事件肆虐之際,TWCERT/CC便與亞太區電腦緊急事件回應小組(APCERT)各會員進行情資交流,分享台灣該事件的處理與應變作為,亦包含受駭態樣、活體樣本、情資分析報告及協處建議,讓相關組織能掌握最新資安威脅的變化與趨勢,以儘早採取相關防護作為。
另外,考量到台灣多為營運規模不大的中小企業,往往沒有專業資安人才可處理資安威脅事件,所以TWCERT/CC也進一步為民間企業團體和個人提供多元通報與協處方式,根據企業通報事件緊急的程度,給予相應的技術諮詢、處置建議與協助。以資安鑑識服務為例,曾經有企業發現其網站受駭,但不知如何處理,因此向TWCERT/CC求助,TWCERT/CC根據事件的狀況進行研判分析,並協助企業進行數位鑑識,解決問題根源。
陳主任解釋,唯有持續監控資安事件與可能潛在的威脅,即時分享情資給相關單位處理與發布,才可達資安聯防的目的。若台灣企業能夠在公司內部成立 CSIRT,平時負責接收TWCERT/CC與其它組織的資安情資,當事件發生時負責協助同仁應處,透過資安情資分享與事件處理來累積應處經驗,可快速提昇公司人員資安素質與事件排除效率,降低事件對企業的影響。考量到多數台灣公司的規模不大,我們建議同質性公/協會亦可成立 CSIRT,以保有資安自主權與隱私權,實踐資安聯防的願景。
建立情資分享平台TWCERT-ISAC 積極分享資安情資
為有效整合台灣官方與民間的資安防護能量,TWCERT/CC現正著手開發資安情資分享平台(TWCERT-ISAC),將民間資安通報情資、緊急重大資安事件預警情資、及國際資安組織APCERT、AIS、APWG等進行持續性自動化公開情資共享與交流。而在TWCERT-ISAC分享情資格式部分,目前以STIX (Structured Threat Information eXpression)格式分享為主,並且也建置TAXII-Server,與其他組織進行情資交換,達成資安聯防的目標。
陳主任指出,一般民眾及企業在進行資安通報時,除了透過電話、E-Mail、官網等通報管道外,亦可透過TWCERT-ISAC中的自動化資安通報系統,透過系統API介接的方式進行自動通報,使用標準化通報介面,與國內外各單位界接,加速通報流程,而民眾及通報單位亦可透過此系統查詢事件處置進度及給予相關處置建議。所有通報的情資會透過工單系統進行管制,每筆資安事件都會建立標準編號,進行資安事件紀錄、追蹤、研判與分級等作業,有利於通報事件辦況管制,掌握全球資安事件趨勢,及分析駭客行為及未來駭侵事件趨勢。
此外,為避免國人將含有機敏資訊之樣本誤傳至國外的惡意樣本檢測系統中,TWCERT/CC亦與國家高速網路與計算中心(以下簡稱國網中心)合作開發惡意樣本檢測平台(Malware Analysis & Report System, MARS),其中TWCERT/CC負責前端網頁介面開發,供民眾及各單位上傳惡意樣本,並透過國網中心後端沙箱檢測分析後,產出可疑惡意程式行為檢測報告,提供給檔案上傳者參考,上傳者亦可透過系統查詢檢測進度。長期經營此系統,預期可建立台灣特有惡意樣本資料庫及掌握台灣網路駭侵狀況,此系統除了可提供民眾台灣特有駭侵行為及未來駭侵趨勢分析外,同時也可避免國人將含有機敏資訊之樣本誤傳至國外樣本檢測系統中,導致我國機敏資訊外洩。
資料來源:TWCERT/CC提供