根據行政院資安處的規畫,未來所有民間機構的資安事件通報都將由TWCERT/CC(台灣電腦網路危機處理暨協調中心)負責相關資安事件通報事宜,而由中科院接手這個TWCERT/CC專案後,也投入相關的資源,開發功能類似國外VirusTotal的惡意樣本檢測平臺的系統,目前已經完成初步的系統開發並做程式的源碼檢測和弱點掃描中,未來正式上線提供惡意樣本檢測服務的時間,將統一由資安處做最後的宣布。
TWCERT/CC主任廖志明表示,該組織的任務很明確,除了協助臺灣所有民間業者進行相關的資安事件通報應變外,身為臺灣唯一具有協調應變的CERT組織:TWCERT/CC,也肩負起臺灣和各個國際資安組織的聯繫和合作事宜。他指出,與國外資安組織互惠合作及情資共享,並加速事件通報應變與協調處理,都有助於提升臺灣整體資安聯防的能量。
民間企業資安事件通報統一由TWCERT負責
中科院自從2015年8月正式接手TWCERT/CC的專案以來,也歷經幾次的組織目標和任務的調整,廖志明坦言,該中心原本只是單純做資安事件的通報應變與協調處理等,但是在國家對於資安重視程度更甚以往的前提下,TWCERT/CC勢必得要扮演更積極的角色。
因此,他在確立該中心的工作目標,包括相關資安事件的通報處理、應變協調、情資發布和交流合作外,最重要的關鍵必須要能夠做到資訊整合,「唯有資訊整合後,才能夠發揮情資的價值。」廖志明說。
所以,他便進一步協調中科院投入相關的開發資源,由中科院協助TWCERT/CC自行開發一套臺版VirusTotal的惡意樣本檢測平臺,並且和國家高速網路中心合作,作為所有政府機關以及民間企業各種惡意樣本檢測的單一入口網站,希望可以做到,避免具有國家機敏資料的文件檔案在進行檢測的過程中,避免機敏資料可能外洩的潛在風險。
TWCERT/CC目前主要是做各種民間機構的資安通報,許多關鍵基礎設施雖然以民間企業為多,目前則由行政院資安處統一作為關鍵基礎設施的資安主管機關,TWCERT/CC則會扮演協調應變的輔助角色,而各個政府部門則會透過自建各種ISAC(資安資訊分享與分析平臺)或者是SOC(資安監控中心)、CERT(網路危機處理中心)以及CSIRT(網路危機處理應變中心)等,打造一個互助綿密的資安情資分享網路。
廖志明表示,由於TWCERT/CC主管民間企業的資安通報應變,目前也協助政府進行相關資安通報應變準則(Guideline)的規畫制定,也會提供相關的教育訓練服務,更長遠的目標則是,希望可以協助民間企業,打造自家的緊急應變處理中心(CSIRT)或者是建置一個具有資安事件應變處理的資安事件處理團隊(IR Team)。
採用標準格式進行情資交換,美國是最主要的情資來源分享國家
目前TWCERT/CC從國內外收到的各種資安情報,都會先透過政府部門的G-ISAC(政府資安資訊分享與分析平臺),將相關資安訊息傳送到其他政府部門自行打造的CERT或者是CSIRT等平臺。
廖志明表示,目前TWCERT/CC透過IODF這個格式與政府G-ISAC做情資交換,仍然是以人工的電子郵件的情資交換方式為主,但是,目前其他國際組織已經開始採用.stix格式,這是一個可以透過機器讀取的資安情資格式,也將會是未來TWCERT/CC以及其他國際資安組織,甚至是臺灣各個ISAC做資安情資交換時會採用的標準格式,「預計到2018年將全力推動.stix格式作為資安情資交換的標準。」他說。畢竟,TWCERT/CC未來最主要的目的,還是必須要做到情資自動融合和關連比較分析,自動化情資交換是重要的基礎。
從2016年1月開始,TWCERT/CC也透過G-ISAC提供資安情資,並且協助受駭單位完成相關的資安事件處理,廖志明指出,全年度該中心分享G-ISAC資安情資總數為3,457筆資訊,以入侵攻擊事件的通報數量最高,數量達2986筆,占比高達86.4%。
根據TWCERT/CC的統計,2016年1月~12月臺灣接獲的資安事件通報總數達3,991筆,最大宗的資安情資分享國是美國,數量為2,201筆,比例高達55.1%;其次為臺灣內部的資安情資通報,數量為746筆,占比為18.7%;第三高的情資來源國為巴西,數量為649筆,占比為16.3%;其餘資安情資來源國則包括馬來西亞(3.8%)和印度(1.3%)等。
廖志明表示,以通報的月份來做分析,以12月份的通報數量最少,可能和國外重視耶誕節有關係,其次通報數量較少的月份為二月和七月,分別是寒假和暑假期間;而通報數量最高的月份則是三月、四月和八月份,通報數量甚至是通報數量較少月份的一倍以上。
TWCERT/CC如何提供有感服務是困境,可參考韓國KrCERT作法
目前TWCERT/CC主要是針對臺灣民間企業提供資安通報和應變的服務,但是,中間曾經沉寂許久的TWCERT/CC,如何讓民間企業認識到這個單位,並且提供民間企業更多「有感服務」,願意成為TWCET/CC互動的對象,其實是TWCERT/CC未來在進行民間企業資安通報時,必須面臨的困境之一。「他山之石可以攻錯,」TWCERT/CC其實可以參考韓國KrCERT/CC的作法,取其服務精髓,作為在臺灣推動民間企業資安通報的參考典範。當然,KrCERT/CC每年有高達10億美元的預算,人力超過700人,更是全球人數最多的CERT單位,臺灣目前不論是從預算或是人力上,都很難望其項背。
而KrCERT/CC掌管韓國大約95%的網路空間,除了少數的大型企業和軍方、政府單位之外,都是KrCERT/CC的管轄範圍,所以,KrCERT/CC為了讓民眾有感,在各項服務的提供上更是不遺餘力。
除了在十多年前,KrCERT/CC就設置118直播專線,民間企業一旦遭遇任何資安事件需要協助時,都可以有24小時值班人員提供協助的超高標準的服務外,其他像是針對韓國企業網站提供每4小時一次的惡意程式掃描服務;或者是提供免費的DDoS阻擋和流量清洗服務;也推出免費防火牆,分析網路封包安全性並攔截駭客對網站系統和各種應用程式的攻擊行為;甚至是自行開發一套可以偵測包括PHP、.jsp和.asp語法撰寫的網站木馬程式的惡意程式偵測工具等,都讓韓國企業與KrCERT/CC之間有緊密的連結。
TWCERT/CC肩負臺灣民間企業資安通報與應變處理的重責大任,但是,如何讓TWCERT/CC和民間企業有良好的夥伴關係及互動,也將是TWCERT/CC如何提供有感服務,拉近民間企業與該單位之間距離的最好方式。
TWCERT/CC除了自建臺版VirusTotal惡意樣本檢測平臺外,也會將觸角深入到國外資安組織,進行更多元的資安情資交換。