为了提升台湾民间企业的资安能力,不仅依赖个资法对全体企业的规范,以及金管会对上市柜公司提出的各项要求,政府在协助企业提升资安能力方面,台湾电脑网路危机处理暨协调中心(TWCERT/CC)扮演著重要角色。
随著2024年元旦资通安全研究院(资安院)接手TWCERT/CC,各界都关心他们后续如何进一步协助民间企业。4月他们公布发展计划,预告将持续推广共同参与,拉拢更多企业加入TWCERT/CC免费会员,时隔超过半年的此刻,资安院在2024台湾资安通报应变年会,揭露目前最新相关进展。
特别的是,关于深化情资分享的具体做法,TWCERT/CC有了全新的策略,强调将以情资为主的沟通,扭转大家对于通报的刻板印象,他们同时公布,加入TWCERT/CC会员的民间企业已有1,699家。相较于今年年初的1,260家,增加449名会员,提升35.6%。
将逐步以情资角度,而不是以事件通报角度来沟通,以利情资驱动的资安联防
资安院院长何全德强调,资安问题已不再是单一国家、企业或组织可以独自有效解决,在资安院接手TWCERT/CC后,希望将过去技服中心的经验,也能有效用于服务广大的台湾民间企业。
关于TWCERT/CC的发展现况,由资安院通报应变中心主任孙伟哲上场说明。由于该场议程的TLP情资分级为「绿灯」,仅限领域内部人员使用,因此我们会后征询孙伟哲同意,揭露当中可公开的重点。
他首先强调,TWCERT/CC为促进资安情资分享,将以「情资」取代「通报」的概念,这是其未来服务方向的一项全新转变。
为何会有这样的改变?主要原因是,在过去一年推广情资分享的过程中,他们发现民间企业较不愿以通报角度来分享资讯,认为通报是严谨且繁琐的程序,这也导致降低了参与意愿。此外,企业也常误解分享情资时需提供过于详尽的内容。
因此,TWCERT/CC希望以「情资」为沟通基础,帮助企业理解其在联防合作中的重要性。孙伟哲解释,情资分享的重点并非提供事件的全貌,主要聚焦于:遇到何种类型攻击、可能攻击标的、入侵指标(IoC)、攻击手法等。
换言之,情资分享并不是分享多少电脑伺服器受害,是否资料外泄等,这些内容对第一线联防并无价值,无法帮助其他单位的联防准备。
因此孙伟哲指出,TWCERT/CC将逐步以情资为沟通基础,而非以事件通报为角度来进行沟通,这是后续推动上的调整重点。
至于具体有哪些调整?对此,我们首先联想到,这应该是指TWCERT/CC网站的服务页面上,可以找到「一般资安通报」的线上服务。孙伟哲的回应是:未来TWCERT/CC的对外服务网站确实将进行全面改版,会以情资的角度,让民众与企业协助提供相应的资讯,以帮助提升联防的成效。
综观此一变化,我们认为,过去TWCERT/CC为了帮助企业遭遇资安事件的应处,提供事件通报的管道,随著2023年他们发布企业资安事件应变处理指南,如今他们显然更强调在联防与情资交流。
提供会员4大情资类别,中小企业受益最大
在情资联防上,TWCERT/CC会员究竟可获得哪些具体内容?孙伟哲表示,主要有4大情资类型,分别是:活动预警、骇侵事件、漏洞情资,以及入侵指标。
而我们也好奇,这4大情资类型是否今年才开始画分?他表示,过去TWCERT/CC就会将情资提供给会员,如今资安院接手维运的新作法就是,依照过往经验将情资类别明确化,希望让会员可以较能明白情资内容与应用,例如:
(一)活动预警情资
TWCERT/CC将研析外部提供的企业攻击事件情资,从中发现共通性、浅在攻击活动,提醒相关企业及早防范。他举例,当发现一个针对特定领域的攻击,虽然该企业可能不是正在被攻击的对象,但接获情资、知道风险可能上升时,就能预先做准备。当然,这也仰赖情资的价值程度,才能让防范上更有针对性。
(二)骇侵事件情资
会根据外部或自主发现的攻击事件情资,将相关资讯经分析后提供遭骇企业应处。例如TWCERT/CC在暗网、地下论坛发现有一家公司资料被贩卖,一旦发现这样的情资后,他们就会协助通知该公司。
基本上,这应该是企业应该主动监控的范畴,但为了帮助更多缺乏资源的中小企业,因此TWCERT将协助通知,避免国内企业未能掌握此状况。至于外泄资料是否为攻击者设置的烟雾弹,或企业是否真正受害,仍需要收到情资的企业自行判断与调查。
(三)漏洞情资
不论是已知漏洞未修补,或是零时差漏洞的问题,由于近年骇客经常利用漏洞作为攻击起始点的态势,因此企业必须有所掌握。当然,所有漏洞修补其实都有其重要性,不过,TWCERT/CC会更著重在高风险漏洞层面的分享,因为这些漏洞威胁更具急迫性。
因此,他们每星期会参考美国CISA公布的已知漏洞利用清单,并汇整新遭利用的漏洞,同时也会统整出相对影响较高的漏洞,以及CVSS风险评分较高的漏洞,供广泛的TWCERT/CC会员可以检查,是否有受影响的设备,以及是否已经安排更新修补。
(四)入侵指标情资
基本上,IoC入侵指标的全名是Indicators of Compromise,主要是用于辨识恶意活动或安全事件的具体证据或迹象,包含IP地址、网域名称(DN)、恶意档案的HASH值,可以帮助资安团队快速识别威胁。
孙伟哲表示,如果不知道面对特定威胁该如何防护,也可以把这些情资部署于防护设备、设为黑名单。这对于普遍资源不充沛的中小企业而言,至少能有防护行动的开始。
开发电邮陷阱机制,与Shadowserver合作,未来还将提升情资自研能量
之所以有上述4大情资类别能够分享,背后其实也仰赖多方威胁侦测的搜集,才能产出预警情资。
例如,TWCERT/CC本身也希望还能进一步提升情搜预警能力,希望有些情资可以是由自身研究来发现,而不像过去这方面的业务型态,全是仰赖从外部收到的情资,或是购买而来的情资。
之所以有此改变,是因为过去计服中心在协助公务机关时,本身就会自己研究取得情资,因此资安院如今也希望将这样的能量也用在民间企业,这会是未来一个重要发展方向。
在促进情资交流上,TWCERT/CC也采取更积极的态度,像是针对发布资安重讯的上市柜公司,他们现在会主动联系这些公司,询问是否能协助提供IoC以利联防。而且,目前也确实有企业愿意分享这些入侵指标。
在国内资安事件分析上,孙伟哲也揭露几项统计数据,在国内资安事件分析上,以今年2024年(至10月底为止)而言,勒索攻击事件比例最高,占所有事件的44.68%;在CVE漏洞审查方面,今年TWCERT/CC已公告130个CVE漏洞,当中多属高风险漏洞;在恶意档案检测服务VirusCheck上,TWCERT/CC收到1,645笔可疑档案需要检测,以民间企业使用率最高,共发现44个恶意程式、12个IP位址与16个网域名称。
在国际情资分享上,今年TWCERT/CC已接获1,660件国际资安情资,当中以恶意程式相关情报占45.84%,比例最高。
特别的是,他们也提到与国际组织Shadowserver基金会合作,共同研析国内产品资安漏洞,希望进一步提升台湾资安产品在国际市场的可信度。
而在技术创新方面,TWCERT/CC也成功开发了一项自主电邮陷阱机制,专注于捕捉针对电子邮件的威胁行为,希望借由更多来源持续扩展自身的情搜预警能力。