• 【资安周报第69期】台湾关键基础设施专属应变团队在哪里?

    2018-01-17 09:25

    导读: 美国针对16个关键基础设施产业的维运业者、设备业者及相关资安业者等,成立专属的ICS-CSRT,除了有针对资安事件成立紧急应变小组外,也有和其他资安业者合作,进行关键基础设施的漏洞修补,并开发软件做相关的风险评估。但台湾呢?

    台湾有八大关键基础设施产业,包括政府、能?#30784;?#27700;资源等,但若其中一个产业有爆发资安事件,并没有专属的关键基础设施应变团队,可以将讯息和解决方式分享给全部成员。

    图片来源: 

    iThome

    乌克兰电厂在2015年12月23日的耶诞节前夕,遇到无预警的大规模停电,后来经过资安专家确认,该电厂是被植入针对关键基础设施的恶意程式BlackEnergy。这起事件引发全球关注,连美国关键基础设施的工控系统网络紧急应变小组(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)等团队,也都飞往乌克兰协助鉴识和处理相关的资安事件,找出攻击事件的相关线索和对抗相关的威胁。

    关键基础设施的资安威胁最早是从恶意程式Stuxnet攻击伊朗核电厂揭开序幕,也因为关键基础设施攸关许多民众的生命与生活安全,美国对于这样的资安威胁也非常在意,因此,关键基础设施的资讯安全一直是美国政府高度关注的重要资安议题。

    根据美国ICS-CERT统计2016年美国财年所通报的资安事件,总共有290起资安事件发生,其中,有63起发生在关键基础设施产业的资安事件,另外有62起发生在通讯产业,另外有59起发生在能源产业;除了产业别外,在290起资安事件中,也有26%是鱼叉式钓鱼手法(Spear Phishing)引起的,网络扫描与探测的资安事件也有12%;另外也成立专属团队,协助处理187个工控系统相关的漏洞,并协同其他资安业者降低其他305个漏洞的风险。

    从美国ICS-CERT的统计资料可以清楚发现,该单位可以清楚掌握包括:化工产业、商业设施产业、通讯产业、关键制造业、水库产业、国防工业、紧急救护产业、能源产业、金融服务产业、粮食与农耕产业、政府部门、医疗保健与公共卫生产业、资讯科技产业、核能反应材料与废弃物产业、交通产业、水资源与废水系统产业等16种美国政府纳管的关键基础设施产业所爆发的资安事件,也有能力协助各该产业紧急处理相关的资安风险。

    相较于美国针对16个关键基础设施产业成立专属的ICS-CERT,借此汇整跨产业工控系统相关的资安事件作法,有效提升政府部门对关键基础设施爆发资安事件的掌握,但回头看看台湾,除了针对民间企业与国?#24066;?#35843;通报应变的TWCERT/CC外,八大关键基础设施产业中,只有政府部门有技服?#34892;?#25104;立TWNCERT、电信业者主管机关成立NCC-CERT外,其余关键基础设施并没有成立针对资安事件的紧急应变团队,更遑论效法美国成立关键基础设施专属的ICS-CERT。

    台湾应效法美国成立关键基础设施专属团队ICS-CERT

    目前台湾行政院资安处正在努力推动,希望第一个资安专法“资?#34917;?#29702;法”可以尽速在行政院院会通过后,送交立法院进行三读审查。这个法案最大的特色就是,将行政院国土安全办公室规划的八大关键基础设施纳入资?#34917;?#29702;法的管理范畴中,也就是说,未来包括政府机关、能?#30784;?#27700;资?#30784;?#36890;?#27934;?#25773;、交通、金融与银?#23567;?#21307;院、高科技园区等关键基础设施产业,一旦爆发任何资安事件,皆有责任和义务跟该产业的主管机关通报。

    目前台湾有针对民营企业成立的TWCERT/CC并兼具国?#24066;?#35843;应变的责任,但在八大关键基础设施产业中,只有政府部门有技服?#34892;?#25104;立的TWNCERT、电信业者主管机关成立NCC-CERT,其余关键基础设施产业并没有成立CERT组织。

    根据行政院资安处汇整的八大资安旗舰计划中,也要求关键基础设施主管机关?#24613;?#39035;建置该产业的ISAC(资安情资分享分析?#34892;模?#20854;中一个很重要的关键因素就是,可以透过资安情资的分享与分析,掌握各个关键基础设施的资安风险等?#38431;?#29366;况,而金融产业则预计成立F-ISAC(资安情资分享与分析?#34892;模?/p>

    只不过,台湾这些关键基础设施业者跟主管机关通报资安事件后,更重要的关键在于,相关的业者是否有能力处理相关的资安事件。毕竟,对相关的关键基础设施业者而言,只有资安情资的分享与分析是不够,如果台湾各产业的主管机关除了建置ISAC外,也应该仿效美国打造一个集合所有关键基础设施相关业者的ICS-CERT,并成立相关的资安事件处理团队(IR Team)的话,才是真正对于关键基础设施业者有实?#24066;?#30410;的作法。

    除了成立资安和漏洞处理小组,ICS-CERT也研发软件做风险评估

    美国ICS-CERT主要的任务就是减少国家关键基础设施的风险,成立一个资安事件紧急应变小组就是希望可以减轻网络安全事件,对全美16个关键基础设施产业的工业控制系统造成的影响。对于这些关键基础设施的民营业者而言,ICS-CERT成立的资安事件紧急应变小组带来一个重要的价值就是,可以协助受骇业者定义出资安风险影响的程度,骇客使用哪一些攻击手法和技术,并且协助业者发展出减缓、复原、强化网络防御能力的资安策略等等。

    由于网络资安风险复?#26377;?#36234;来越高,因此,ICS-CERT也会和其他国际的CERT组织,以及一些民营单位组成的CERT组织一起协同合作,也会和其他各个不同的的电脑安全事件回应处理小组(CSIRT)分享针对工控系统爆发资安事件的因应处理方式。

    因为ICS-CSRT有绵密的情资分享和国际与民营资安机构的合作经验,对于强化相关的网络安全防护能力有很大的提升,光在美国2016财年期间,ICS-CERT就处理187个漏洞,并且和其他业者协同处理305个漏?#30784;?/p>

    以2016年处理的资安事件为例,资安事件紧急应变小组不仅率先从一起网络攻击事件,发现到这个资安事件带来的后遗症就是会影响到电厂的实体安全;也从其他资安事件的处理经验中,?#19994;?#38024;对水资源控制系统可以进行远端遥控存取的低阶恶意程式,也因为可以事先发现,就可以做到事先预?#26469;?#29702;。

    ICS-CERT除了有资安事件处理团队外,也有成立一个漏洞协同处理小组(Vulnerability Coordination Team),这个单位会和美国联邦政府、州政府、区政府、关键基础设施业者、维运者以及关键基础设施设备业者等一起合作,从五个步骤处理?#19994;?#30340;关键基础设施的漏?#30784;?/p>

    这五个步骤,第一步就是:侦测与搜集相关的漏洞资讯,主要是从各种漏洞研究报告搜集相关资讯,也有一些是从资安研究者直接提供的漏洞资讯,并从中学?#23433;?#25490;除一些错误的警告资讯,对每一个漏洞提供正确的分类;第二步就是分析漏洞,这个团队和关键基础设施设备业者的分析师合作,检视漏洞的程度并定义出所有潜在的威胁。

    第三步是协同其他资安业者减缓漏洞风险,不论是提供相关的漏洞修补程式(Patch)或者是测试漏洞是否修复都算。第四步是应用程序漏洞修补,该团队会和资安相关的资安业者在漏洞对外公开揭露前,完成相关的测试与漏洞修补,减少对终端使用者的影响;最后就是公开漏洞,在所有的资安业者与该团队收集到所有技术与威胁资讯后,公开相关的资安警告并提出修补建议,以提醒使用者注意这个漏洞带来的风险。

    ICS-CERT也深知,只有靠人力处理资安事件在速度与效率?#24076;?#26159;?#23545;?#26080;法满足使用者的需求,因此,美国国家实验室(SNL)则花费一年的时间研究,开发出一套协助ICS-CERT做评估的原型工具。在2016财年,ICS-CERT针对分布在19州的12个关键基础设施产业,总共进行了130次网络安全风险评估,其中,有32次是使用CSET自我评估工具所进行的评估,另外55次是检视设计架构(DAR),另外43次则是针对网络架构验证和有效性做评估(NAVV)。

    若以ICS-CERT研发的网络安全自我评估工具CSET来看,在2016年2月?#32479;?.1版,9月?#32479;?.0版,可以协助关键基础设施相关的维运和资安业者,进行系统性、规律性并且可重复执行的完成相关资安风险评估。除了美国自己境内单位使用外,该评估软件也全球在120个国家,?#30053;?#36229;过一万次。文⊙黄彦棻

    相关文章

    福建36选7开奖公告
  • 江西时时开奖号码查询 足彩总进球数如何判断 北京pk10计划9码 天津11选5推荐号码 幸运飞艇大小单双必赢 四川时时app下载手机版下载手机版下载手机版下载 天津时时销量大吗 t86cc天下彩票资料大全 时时彩怎么玩才能赚钱 22选5每天几点开奖