資策會資安科技研究所(資安所)在經濟部技術處指導下,為科專計畫所開發的「SecBuzzer雲端資安情資服務平台」,導入符合ISO國際標準的雲端服務資訊安全與個人資料保護管理制度,並通過獨立驗證機構BSI專業審視,同時獲得ISO 27001:2013、ISO 27017:2015、和ISO 27018:2014三項國際資安標準認證,成為台灣第一個通過ISO三項雲端資安與個資保護認證的資安服務平台。
Security-as-a-Service
資策會資安所毛敬豪所長指出,利用公有雲開發、部署資訊服務雖已成為近年來的一大趨勢,然雲端環境的安全管理有其難度與特殊之處,可能給服務提供者與客戶帶來的資安威脅,必須受到更多的重視。同時,面對我國資安管理法要求,需建立八大關鍵資訊基礎設施(Critical Information Infrastructure, CII)的資安情資分享與分析中心(Information Sharing and Analysis Center, ISAC),突顯資安所打造SecBuzzer成為資安情資服務平台的重要性。透過機器學習和多層類神經網路架構的深度學習技術,以資安即服務(Security-as-a-Service)模式提供共享使用,具備節省成本、快速建置、及彈性應用等優點,可協助及提供我國資安廠商情資分享、弱點檢測、惡意程式掃瞄及監控分析等服務。
ISO 27017可以比喻成雲端版ISO 27001,其以ISO 27002為基礎,設計出適用於雲端服務安全控制措施的參考準則(包含建置指引),主要強調雲服務供應商(Cloud Service Provider, CSP)與雲服務使用者(Cloud Service Customer, CSC)在資安角色上的權責劃分及應落實之控管作為,因此無論CSP或CSC都能參考ISO 27017來優化雲端安全;ISO 27018則是第一個針對公有雲服務個資保護控制措施所設計的國際標準,參照ISO 27002的資安管理項目,設計出強化個資保護的控制措施,以及基於ISO 29100隱私權框架而設計出11項追加控制措施,以強化公有雲服務的個資蒐集、處理及利用等流程。
此認證專案在資安所積極參與之下,極有效率逐步完成資訊安全體系評估、風險管理、制度文件調整及內部稽核等體系管理活動,並搭配深入的宣導與教育訓練,讓相關人員熟悉資訊安全管理制度、作業流程的權責設置,以及針對所利用的公有雲平台進行各項設置的強化,更透過多次的營運持續演練不斷提升應變能力,降低各種外在影響可能造成的服務中斷。
SecBuzzer是一個蒐集與分析國際情資的服務平台,其自身的資安防護與管理程序當然也要具有國際水準。考量SecBuzzer相關設計、開發及維運亦大量利用公有雲服務,有可能會針對個人資料進行蒐集、處理、利用,因此,除了取得ISO 27001資安認證外,同時取得ISO 27017雲端安全管理標準、ISO 27018雲端個資安全管理標準等三項認證。展望未來,資安所將持續於該平台推出各項新功能,SecBuzzer 2.0已於2月20日上線,對雲端資安、個資管理的高度堅持,強化與落實各項管理作為,以打造成為可信賴的共享服務平台,引領我國雲端資安服務並建立優質典範。
.jpg)
圖說:資策會資安所在經濟部技術處指導下,為科專計畫所開發的「SecBuzzer雲端資安情資服務平台」,通過獨立驗證機構BSI專業審視,同時獲得三項國際資安標準認證,成為台灣第一個通過ISO三項雲端資安與個資保護認證的資安服務平台。圖為BSI台灣分公司總經理蒲樹盛(左)頒發ISO證書予資策會資安所毛敬豪所長(右)。
SecBuzzer資安威脅情蒐平台
SecBuzzer資安威脅情蒐平台為一網路情資平台,其能追蹤網路社群媒體上流通談論的新興資安威脅議題,並且提供可能的解決方案;針對軟體弱點的資安威脅,SecBuzzer追蹤Twitter上討論到的漏洞編號,並將異質情資加以整合,呈現討論熱度趨勢作為散播風險的參考。此外,SecBuzzer整合誘捕系統收容之惡意程式分析,以及惡意網址探索分析的情資,作為資安威脅的佐證與另一項重要的情資來源。