iThome
随着科技应用越来越深入企业流程,各种资安风险和威胁也变得越来越像日常生活的一个环节,即便是过往,有许多台湾企业对于各种资安威胁的认知不深,但是从去年爆发的第一银行ATM盗领事件,或者是今年初的券商遭到骇客组织发动DDoS攻击并索取赎金的状况,甚至是层出不穷的勒索软件加密使用者硬盘,必须支付赎金才能取回解密金钥的资安事件,更是屡屡传出。
上述发生的这种种资安事件,都让台湾企业进一步意识到,各种资安威胁其实都在已经可以日常生活中发现或观察到类似的资安事件。这些资安事件的发生,其实跟企业规模大小不见得有直接的关系,有些时候,不见得是企业轻忽资安、没有提供足够的资安防护机制,更多时候,资安事件的发生就如同瑞士乳酪理论一样,其实是种种的巧合加上巧合造成的,就像是光线正好穿过不同块瑞士乳酪的洞口而已。这其中,只要有一层乳酪的洞口,刚好位置偏移或被挡住,光线就无法顺利穿透,这也意味着资安事件就不会因此发生。
更有甚者,各种资讯科技的应用已经更为深化,不论是各个都会城市的首长,希望透过打造智慧城市,提供更多的便民服务;或者是政府为了提升产业竞争力,大力揭櫫的各种工业4.0的政策方针;还有像,金融业正high的金融科技、行动支付以及区块链的应用等等,各种服务推出的背后,都一定要解决共同面临的关键问题,那就是各种有形或无形的资安问题。
也因为面对这层出不穷的资安问题,开始有企业或组织正视该如何解决这样的问题。于是乎,美国最早成立CERT组织的卡內基美隆大学软件工程研究所(Software△Engineering△Institute,SEI),也开始思考应该要协助企业甚至是国家,打造一个可以在第一线处理资安事件的应变处理团队。唯有在系统安全无虞的情况下,让各种透过资讯科技和系统提供的服务,都可以正常且安全无虞的提供服务。
这样企业的第一线资安事件处理团队,我们称之为电脑资安事件应变团队(Computer△Security△Incident△Response△Team△,CSIRT),这样的团队并没有明文规定需要有多少成员,像是日本电信业者因为公司规模够大,CSIRT团队成员超过50人,日本网络即时通讯App△Line则是横跨日本、韩国打造虚拟CSIRT,而日本百年电子设备制造商OKI的CSIRT团队则只有9人。当人数不是问题、跨部门不是问题,连跨国也不是问题的前提下,企业自行打造CSIRT团队,就意味着,企业是否具备处理资安事件的能量和能力。
欧美制定CSIRT标准,日本企业自建CSIRT成风潮
目前,美国国家标准技术研究所(NIST)也针对CSIRT制定相关的标准规范,像是SP800-61电脑安全事件处理指引(Computer△Security△Incident△Handling△Guide)、SP800-83恶意程式资安事件防御参考指引(Guide△to△Malware△Incident△Prevention△and△Handling)以及SP800-86 整合资安事件处理与鉴识技术参考指引(Guide△to△Integrating△Forensic△Techniques△into△Incident△Response)等;另外,在欧盟也有欧盟网络资讯安全局(ENISA)也陆续制定包括网络资安事件与危机协同处理应变策略(Strategies△for△Incident△Response△and△Cyber△Crisis△Cooperation)和按部就班如何打造CSIRT团队守则(A△STEP-BY-STEP△APPROACH△ON△HOW△TO△SET△UP△A△CSIRT)等相关标准,作为企业自行建置CSIRT的参考。
从欧美国家陆续对于企业自建CSIRT团队先后制定相关的标准,慢慢也带动欧美大型企业愿意打造CSIRT团队,只不过,欧美企业的CSIRT往往是当公司规模大到一定程度,对资安需求提高到一定水准时,都会自行建置相关的资安监控中心(SOC)、资安事件通报应变处理团队(CERT)、资安资讯分享与分析中心(ISAC),以及电脑资安事件应变处理团队(CSIRT)等。
反观日本,却是在这近两年来,慢慢形成一股企业自建CSIRT的风潮,尤其只要是喊得出名号的大型企业,不仅都会自行建置CSIRT团队,也会同时加入日本JPCERT/CC和日本CSIRT协会(Nippon△CSIRT△Association,简称NCA)的会员,甚至于,也会一并加入国际性的资安事件处理团队FIRST。
而根据日本 JPCERT/CC在今年五月份公布的一份调查资料显示,截至今年五月,日本总共有232间企业的CSIRT团队,参加由JPCERT/CC协助筹组的非政府组织NCA。日本NCA协会副主席干奈津子(Natsuko△Inui)表示,NCA从2007年成立后,刚开始几年,都只有十多间企业参与,一直到2015年4月日本金管会更新稽核手册內容并鼓励金融业自建CSIRT团队,可以第一线处理企业面临的资安事件,带动许多日本金融相关业者成立CSIRT团队。
当然,干奈津子也说,2015年日本政府制定相关的网络策略指导方针,开始鼓励日本企业考虑设置CSIRT团队,加上同年日本爆发日本国民年金机构外泄高达125万名日本民众个资的大规模个资外泄事件后,也刺激许多重视资安的日本企业,开始如同雨后春笋般的建立企业內CSIRT团队。
日本CSIRT重视情感交流,台湾CSIRT参考指引第三季推出
面对有这么多日本企业的CSIRT团队都会加入NCA这样的非政府组织,日本CSIRT协会副主席荻原健太(Kenta△Hagihara)笑说,NCA本身除了资安情报的交流外,更具有很深的联谊性质,平常除了会透过20个不同性质的工作小组(Working△Group)发挥各自的专业外,更重要的目的其实就是透过吃饭、喝酒,交流彼此之间的感情。
荻原健太说:“当你上班时发生了一起资安事件,你不知道这件事情到底有多严重时,你如果可以拿起手机,打电话给昨天还在跟你一起吃饭喝酒的其他企业CSIRT成员,透过同业私下告知的私管道获得的情报,往往会比公管道获得情报更快速且精确。”
看到欧美以及日本企业,透过由企业自行建置CSIRT团队,逐步累积处理资安事件的能力,台湾电脑危机紧急应变小组TWCERT/CC主任廖志明则表示,行政院技术服务中心已经针对公部门建置CSIRT团队,制定一份参考指引,而肩负通联台湾民间企业资安情报交换的TWCERT/CC,也已经在着手制定台湾版的企业自建CSIRT参考指引。
行政院资安处处长简宏伟表示,民间企业如果可以有能力自建CSIRT团队,不仅可以累积对资安事件的应变处理能力,更能做到有系统化的资安分析,将可以进一步强化民间企业的资安联防能力。他说,资安处目前还在针对TWCERT/CC制定的CSIRT参考指引提供相关建议,预计最晚今年第三季,相关的参考指引就可以正式对外公布,提供民间企业参考。
七步骤,教台湾企业如何自建CSIRT团队
台湾预计在今年第三季,台湾电脑网络危机处理中心TWCERT/CC才会正是对外公布,这份参考日本、欧盟与美国标准,可以提供给企业自建电脑资安事件因应团队的建置参考指引。
但因为日本从2015年起,突然兴起一股企业自行建置CSIRT团队的风潮,有许多日本企业加入的非政府组织日本CSIRT协会(Nippon△CSIRT△Associationh,简称NCA)也陆续释出许多英文版资料供外界参考,这样的参考指引手册则非常适合对于建置CSIRT团队有兴趣的台湾企业参考。
首先,NCA协会建议,企业如果要打造CSIRT团队,就必须先启动一个建立CSIRT团队的计划,“好的开始,就是成功的一半”,有想要建置CSIRT团队的起心动念,才会开始第二步,搜集相关资料,并透过盘点企业內部的真实现况,挖掘企业面临真实的资安风险与威胁,有了完整的清点之后,企业的优劣强弱一目了然,才有办法对症下药、药到病除。
第三步,将原本只是书面的计划,正式落实并启动,可以正式制定一个打造CSIRT团队的计划;第四步,这样的团队正式成立后,在运作时,则会面临团队运作时,许多计划优先顺序的抉择,而第五步就是如何针对这些计划先后次序进行排序,这也是未来该团队优先选择的发展方向。
第六步,则是让CSIRT团队真正好好的运作执行一段时间,不论中间遇到多少的困难问题需要解决,除了可以边做边调整的方向外,也必须落实第七步,定期检视CSIRT团队的运作状态,让该团队可以在一个PDCA的正向循环中,修正、反省、检讨并改过。
企业e化程度越高,越应支持打造CSIRT团队
廖志明表示,CSIRT就是企业处理资安事件的第一线人员,最主要的目的就是希望可以做到资安风险的灾害控管,他认为,尤其是e化程度越高、越依赖IT提供服务的企业,越应该要支持企业內部成立这样的CSIRT团队。
他指出,CSIRT团队平常就必须练就耳聪目明的功力,不仅要负起资安通报的责任,更要协助企业避免再度发生类似的资安事件,这样的CSIRT团队除了可以是实际的部门成员组成外,也非常适合由不同部门,共同打造一个虚拟的CSIRT团队。
但染谷征良也观察到,有一些企业对于建置CSIRT有错误的迷思,那就是,高阶主管认为只要他同意要建置CSIRT,公司就一定可以成功建置CSIRT团队。但事实上,他表示,CSIRT看似资安应变团队,其实要扮演的却是內外部客户的资安沟通枢纽,只有高层的推动意识是不够的,还必须要其他利害关系人的同意,才能够真正达到扮演沟通枢纽的效果。
陈威棋指出,近期台湾有一些银行业和保险业开始询问建置CSIRT团队的可行性,从目前金融主管机关每年要求金融业者要做到定期执行“资讯安全事件应变演练”,加上资通安全管理法草案中,也要求包括八大关键基础设施等服务提供者,都需建立通报及应变机制,“但重点在于,企业之间能不能有好的互信基础,无私的交换威胁情报,才能有助于CSIRT团队快速解决资安议题。”他说。
台湾勤业众信也从五个面向,建议企业如何将传统资安防御能力,提升为主动运用威胁情报及提升资安事件应变能力,进一步做到有效因应数位科技所带来的资安风险。
陈威棋指出,巧妇难为无米之炊,第一步就是要成立电脑资安事件应变团队CSIRT,明确定义相关权责角色及任务分配,以期能在最短的时间內进行关键决策。他指出,企业內部也可以针对职责分工不同,分别设置包括资安事件调查组、资安事件管理组、网络支援组、系管支援组、资料库支援组、应用系统支援组等应变功能分类。
第二步则是要建立资安事件通报程序与现场调查步骤,陈威棋认为,透过标准化的作业程序以及完善的检核表,就可以让第一线的CSIRT面对不同资安事件时,都有相同和基本的遵循标准和参考指标。
他指出,第三步就是要建置一个有效的资安事件分析调查环境,可以让CSIRT团队透过自动化搜集和分析工具,快速有效确认资安事件发生的来龙去脉,清楚掌握资安事件的脉络。
第四步则是,“透过整合內外部的资安威胁情报,加速确认资安事件发生的手法和范围,”最后则是希望透过不同情境的资安攻防演练方式,提升CSIRT团队对于资安事件应变处理的熟悉程度和处理能量。
iThome△Security
I 相关 / Other
(原标题:中国拟修订快递暂行条例禁快递企业出售、泄露用户信息)中新社北京7月24日电中国国务院法制办24日就《快递暂行条例(征求意见稿)》公开征求意见。意见稿明确,经营快递业务的企业及其从业人员不得出售、泄露
中国企业全面降薪根据智联招聘7月份发布的中国企业第二季度薪酬报告显示,2017年第二季度,全国37个主要城市的平均薪酬从上季度7665元下降至7365元,降幅3.8%。其中除了由新一线及以下城市岗位增幅上升因素外,小微企
记者日前从国资委获悉,下一步国有企业将在控制债务规模,降低金融杠杆方面做出表率,并进一步加快清理“僵尸企业”的步伐。记者了解到,作为国企“去杠杆”改革的重要组成部分,市场化债转股也在提速,多家国企与银
证监会表示将继续按照依法监管、全面监管、从严监管的工作要求,严把上市公司入口关,坚持问题导向,完善IPO现场检查等工作机制,依法严格审核、严格监管,督促发行人和中介机构归位尽责,防止企业带病上市。严把上市
“五绝六穷七翻身”,被投资者寄予厚望的7月已经来临,想要顺利“翻身”,投资又应该怎样呢?华夏基金首席策略分析师轩伟认为,当前A股市场反弹阻力仍在,投资中应重点审视企业长周期的成长性,淡化风格标签,未来一