政府與民間合力搭建資安通報應變與聯防機制

2017台灣資安通報應變年會與會嘉賓。

2017台灣資安通報應變年會會後報導

雲端服務與物聯網所搭起的智慧化生活型態影響著每一個人，網際網路的影響力無遠弗屆，但是伴隨而來的資訊安全威脅，也正隱身於後，無聲無息的悄然隨之而來，以台灣為例，細數近年所發生的重大資安事件，如2016年勒索軟體案件數急速成長，第一銀行ATM盜領案，遊戲公司遭受DDoS攻擊事件，以及2017年初的證券交易商遭DDoS攻擊勒索等事件，除了讓受攻擊的業者之業務遭受重大影響外，也反映出台灣民眾普遍對資訊安全的危機意識薄弱，資安防禦措施及資安應變機制仍不夠完善。

因此，借鏡於國際社會與先進國家的範例，嘗試開始建立資安通報機制與網路聯防組織，藉由網路安全資訊的共享，並與國際的資安通報組織接軌，透過系統化的組織的運作，利用區域防禦與早期預警的通報體系，以尋求遏止資安威脅並有效降低資安風險，台灣電腦網路危機處理暨協調中心(Taiwan Computer Emergency Response Team/Coordination Center；TWCERT/CC)舉辦「2017台灣資安通報應變年會」，邀請產、官、學、研等機構共襄盛舉，於2017年9月13日在集思北科大會議中心盛大召開，邀請包括國安會、行政院資通安全處、中山科學研究院資訊通訊研究所、國防部資通電軍指揮部等高階主管參與開幕式。

行政院資通安全處統一作為關鍵基礎設施的主管機關

會中行政院資通安全處簡宏偉處長的演講，簡明扼要的說明政府機構針對網路攻擊於資安與國安事件的影響所採取的策略，基於資安防護在於資安風險管理的理念，政府著重於四個重要步驟的執行，包括早期預警、持續監控、通報應變，以及協處改善，目前國內資安事件通報管理以行政院資通安全處，統一作為關鍵基礎設施的主管機關，並分為來自民間與政府機構的兩大通報管道，民間通報統籌由TWCERT/CC彙整，而政府機構則統一彙報到行政院國家資通安全會報技術服務中心(National Center for Cyber Security Technology；NCCST)，此二管道都會連接到行政院資通安全處，並視重要性與實質的需要而投入包括軍方與民間等重要的機構協助解決。

台灣目前建構國家級的整體資安聯防機制，已經涵蓋包括能源、水資源、政府機構、通訊傳播、高科技園區、交通運輸、緊急醫療與銀行金融機構，並整合六個直轄市(六都)的聯防，另因資安層面影響非常的寬廣，民間企業也應納入聯防體系，並由TWCERT/CC負責推動。TWCERT/CC為了有效與國際聯防組織情資交換需要，將建置自動化的情資分享機制，來統籌與推動民間企業導入資安聯防機制。

相對於政府部門完善的資安規劃，透過有系統的預算編列與組織動員，反觀民間機構的資安聯防機構的建置就充滿了挑戰，這次接受專訪的TWCERT/CC主任廖志明博士，就極力希望借鏡於日本的JPCERT/CC的作法，他們也是在缺乏經費與人力資源的民間單位中，從篳路藍縷的境地出發，透過民間企業的參與，才有今天的251個跨產業團隊組成的日本的CSIRT協會。

廖主任表示，TWCERT/CC負責民間企業的資安通報與應變，目前協助政府進行相關資安通報應變準則(Guideline)的規劃，界定通報的方式與訊息管道的傳遞方式，讓民間組織有所依循，並配合政府部門自建的各種ISAC(資安資訊分享與分析平台)或者是SOC(資安監控中心)、CERT(網路危機處理中心)以及CSIRT(網路危機處理應變中心)等，打造一個綿密的資安情資分享網路。

TWCERT/CC提供誘因以鼓勵民間企業的參與建立通報系統

TWCERT/CC雖然希望可以協助民間企業打造自家的緊急應變處理中心(CSIRT)，或者是建置一個具有資安事件應變處理的資安事件處理團隊(IR Team)，但是對民間企業而言，畢竟真正的誘因還是在於資安通報所帶來的好處，廖主任坦言，第一要務，就是做好保密的機制，因為資安攻擊所帶給企業在商譽上的影響至關重大，通報管道的保密措施是政府與民間雙方互信的基礎，如果沒有信任的基礎，無法順利建立通報的系統。

第二就是提供充足的誘因，協助民間在通報後，可以獲得多樣化的協助，TWCERT/CC目前已經著手打造多個有實質效益的協助，並且建立完整的資源庫列表，以及應變處理的名單，提供中小企業所需要的諮詢仲介與資安處理轉介服務，這些資料未來都會公告上網，方便企業取得資源共享的機制。

另外，今年TWCERT/CC除了研擬並公告企業資安通報應變準則外，且已經和國家高速網路中心合作開發功能類似國外VirusTotal的惡意樣本檢測系統，作為政府機關，上傳各種可擬惡意樣本程式檢測的單一入口網站，可避免具有敏感資料的文件檔案在進行檢測的過程中，發生資料外洩的潛在風險，這個檢測平台除提供通報者上傳可疑惡意程式檢測服務外，程式分析後的結果與檢測報告，也會回覆給原通報者，未來本平台將可推廣至民間企業使用。

廖主任強調，未來希望進一步與公布IP漏洞網站合作，TWCERT/CC會主動收集與告知含有資安風險的系統與設備與給政府單位或是民間企業，例如部分已知高風險IP Camera或是閘道器的IP地址，同時，也積極與台灣駭客協會(HITCON)合作，將HITCON Zeroday漏洞通報平台所公告的政府與企業網站所發現的零時差弱點，協助通報至相關網站負責單位，並協助國內資安服務供應商，發展製作電腦病毒解藥或是專屬的解決方案，對國內資安產業也能提供重要的奧援。

由於國際性的資安通報組織的運作，貴在自動化機制的建立，所有互通資料需要有國際通用的通報格式，例如以美國為主的STIX格式，就是常用的資料交換格式，TWCERT/CC發展所需要的公共標準介面，現在都可以逐步成為有效的IT資源，並提供給民間企業免費使用，只要透過申請帳號，並建立網路信任機制，除了資安情報分享機制之外，使用這些已經幫你做好系統，不需要企業自己花錢去建置，這對於建立產業別的CSIRT組織，提供實質幫助，就可以迅速幫助整合民間的力量，廖主任認為，在國家層級對於資安重視程度更甚以往的現狀中，TWCERT/CC勢必要跳脫單純做資安事件的通報應變與協調處理的任務，扮演更積極的角色。

TWCERT/CC 2017年工作目標將會依產業別，建立不同產業的通報機制，並陸續搭建互惠機制的資訊系統，從教育訓練和宣導入手，讓民間企業的CSIRT人員可以透過教育訓練，而具備提高網路安全的基本能力與資安的概念，這些基礎工程陸續落實之後，未來就能效法日本一樣，建構個別產業與專業領域的自助聯防組織，隨著產業的資安防護能力的提升之後，將這些通報所建立的資料庫與公有財，提供給學術單位來做科技研究，配合正如火如荼開展的人工智慧的技術，朝向一個具備自主營運的商業模式，並創造更大的價值，進而促進產業界發展創新應用。