原标题::【资安周报第59期】寻找台湾资安新动能系列报道(三):TWCERT/CC主责台湾民间企业资安通报,打造台版VirusTotal检测政府和民间企业恶意程式样本
TWCERT/CC除了自建台版VirusTotal恶意样本检测平台外,也会将触角深入到国外资安组织,进行更多元的资安情资交换。
图片来源:TWCERT/CC提供
根据行政院资安处的规画,未来所有民间机构的资安事件通报都将由TWCERT/CC(台湾电脑网路危机处理暨协调中心)负责相关资安事件通报事宜,而由中科院接手这个TWCERT/CC专案后,也投入相关的资源,开发功能类似国外VirusTotal的恶意样本检测平台的系统,目前已经完成初步的系统开发并做程式的源码检测和弱点扫描中,未来正式上线提供恶意样本检测服务的时间,将统一由资安处做最后的宣布。
TWCERT/CC主任廖志明表示,该组织的任务很明确,除了协助台湾所有民间业者进行相关的资安事件通报应变外,身为台湾唯一具有协调应变的CERT组织:TWCERT/CC,也肩负起台湾和各个国际资安组织的联繫和合作事宜。他指出,与国外资安组织互惠合作及情资共享,并加速事件通报应变与协调处理,都有助于提升台湾整体资安联防的能量。
协助民间企业进行资安事件通报与应变处理
中科院自从2015年8月正式接手TWCERT/CC的专案以来,也历经几次的组织目标和任务的调整,廖志明坦言,该中心原本只是单纯做资安事件的通报应变与协调处理等,但是在国家对于资安重视程度更甚以往的前提下,TWCERT/CC势必得要扮演更积极的角色。
因此,他在确立该中心的工作目标,包括相关资安事件的通报处理、应变协调、情资发布和交流合作外,最重要的关键必须要能够做到资讯整合,「唯有资讯整合后,才能够发挥情资的价值。」廖志明说。
所以,他便进一步协调中科院投入相关的开发资源,由中科院协助TWCERT/CC自行开发一套台版VirusTotal的恶意样本检测平台,并且和国家高速网路中心合作,作为所有政府机关以及民间企业各种恶意样本检测的单一入口网站,希望可以做到,避免具有国家机敏资料的文件档案在进行检测的过程中,避免机敏资料可能外洩的潜在风险。
TWCERT/CC目前主要是做各种民间机构的资安通报,许多关键基础设施虽然以民间企业为多,目前则由行政院资安处统一作为关键基础设施的资安主管机关,TWCERT/CC则会扮演协调应变的辅助角色,而各个政府部门则会透过自建各种ISAC(资安资讯分享与分析平台)或者是SOC(资安监控中心)、CERT(网路危机处理中心)以及CSIRT(网路危机处理应变中心)等,打造一个互助绵密的资安情资分享网路。
廖志明表示,由于TWCERT/CC主管民间企业的资安通报应变,目前也协助政府进行相关资安通报应变準则(Guideline)的规画制定,也会提供相关的教育训练服务,更长远的目标则是,希望可以协助民间企业,打造自家的紧急应变处理中心(CSIRT)或者是建置一个具有资安事件应变处理的资安事件处理团队(IR Team)。
採用标準格式进行情资交换,美国是最主要的情资来源分享国家
目前TWCERT/CC从国内外收到的各种资安情报,都会先透过政府部门的G-ISAC(政府资安资讯分享与分析平台),将相关资安讯息传送到其他政府部门自行打造的CERT或者是CSIRT等平台。
廖志明表示,目前TWCERT/CC透过IODF这个格式与政府G-ISAC做情资交换,仍然是以人工的电子邮件的情资交换方式为主,但是,目前其他国际组织已经开始採用.stix格式,这是一个可以透过机器读取的资安情资格式,也将会是未来TWCERT/CC以及其他国际资安组织,甚至是台湾各个ISAC做资安情资交换时会採用的标準格式,「预计到2018年将全力推动.stix格式作为资安情资交换的标準。」他说。毕竟,TWCERT/CC未来最主要的目的,还是必须要做到情资自动融合和关连比较分析,自动化情资交换是重要的基础。
从2016年1月开始,TWCERT/CC也透过G-ISAC提供资安情资,并且协助受骇单位完成相关的资安事件处理,廖志明指出,全年度该中心分享G-ISAC资安情资总数为3,457笔资讯,以入侵攻击事件的通报数量最高,数量达2986笔,占比高达86.4%。
根据TWCERT/CC的统计,2016年1月~12月台湾接获的资安事件通报总数达3,991笔,最大宗的资安情资分享国是美国,数量为2,201笔,比例高达55.1%;其次为台湾内部的资安情资通报,数量为746笔,占比为18.7%;第三高的情资来源国为巴西,数量为649笔,占比为16.3%;其余资安情资来源国则包括马来西亚(3.8%)和印度(1.3%)等。
廖志明表示,以通报的月份来做分析,以12月份的通报数量最少,可能和国外重视耶诞节有关係,其次通报数量较少的月份为二月和七月,分别是寒假和暑假期间;而通报数量最高的月份则是三月、四月和八月份,通报数量甚至是通报数量较少月份的一倍以上。
TWCERT/CC如何提供有感服务是困境,可参考韩国KrCERT作法
目前TWCERT/CC主要是针对台湾民间企业提供资安通报和应变的服务,但是,中间曾经沉寂许久的TWCERT/CC,如何让民间企业认识到这个单位,并且提供民间企业更多「有感服务」,愿意成为TWCET/CC互动的对象,其实是TWCERT/CC未来在进行民间企业资安通报时,必须面临的困境之一。「他山之石可以攻错,」TWCERT/CC其实可以参考韩国KrCERT/CC的作法,取其服务精髓,作为在台湾推动民间企业资安通报的参考典範。当然,KrCERT/CC每年有高达10亿美元的预算,人力超过700人,更是全球人数最多的CERT单位,台湾目前不论是从预算或是人力上,都很难望其项背。
而KrCERT/CC掌管韩国大约95%的网路空间,除了少数的大型企业和军方、政府单位之外,都是KrCERT/CC的管辖範围,所以,KrCERT/CC为了让民众有感,在各项服务的提供上更是不遗余力。
除了在十多年前,KrCERT/CC就设置118直播专线,民间企业一旦遭遇任何资安事件需要协助时,都可以有24小时值班人员提供协助的超高标準的服务外,其他像是针对韩国企业网站提供每4小时一次的恶意程式扫描服务;或者是提供免费的DDoS阻挡和流量清洗服务;也推出免费防火墙,分析网路封包安全性并拦截骇客对网站系统和各种应用程式的攻击行为;甚至是自行开发一套可以侦测包括PHP、.jsp和.asp语法撰写的网站木马程式的恶意程式侦测工具等,都让韩国企业与KrCERT/CC之间有紧密的连结。
TWCERT/CC肩负台湾民间企业资安通报与应变处理的重责大任,但是,如何让TWCERT/CC和民间企业有良好的伙伴关係及互动,也将是TWCERT/CC如何提供有感服务,拉近民间企业与该单位之间距离的最好方式。
TWCERT/CC主任廖志明表示,未来将从现有IODF情资交换格式,逐步转成国际通用的.stix标準格式,可以做到自动化情资交换,有助未来资安联防的目的。
?
相关:
国银105年中小企业新增放款新台币2734亿元,全年目标达成率114%,即去年新增放款目标达标,另外,12月新增放款更冲上史上新高的1273亿元,其中,800亿元为美光联贷案。金融监督管理委员会今天公布,截至105年12月底止
日本演歌天王中的天王五木宽大年初六来台开工大吉,为即将在2/27、28在台北国际会议中心举行的“五木宽演唱会”催票造势!第三度造访台湾,又正逢农历春节间,五木宽惊喜以台语问候:大家好!又开心的说很开心赶上年
叫车服务Uber今天宣布将退出台湾。经济部长李世光对此表示,全球的新创产业都必须合法,将会继续协助产业做适法性的调整,也会继续关注Uber于全球的相关议题,政府跟产业双方面都应该互相努力。交通部对Uber最高新台
(中央社记者黄丽芸台北2日电)电影“侏罗纪公园”的恐龙再现不是梦。国家同步辐射研究中心博士李耀昌所率研究团队,透过加速器光源检测距今1.95亿年前的恐龙化石,并发现完整胶原蛋白,获“自然通讯”刊登。国家同步
台湾灯会即将登场,云林县政府今天发表“友善大地”主轴的云林风情,在虎尾的农博生态公园前,推出“智慧绿能、农村风情、海口风情、农村再生艺术”4个特色灯区。台湾灯会在云林2大灯区及展期,分别是虎尾主灯区2月1