參與亞太資安論壇 (InfoSecurity)

台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 組長林志鴻參與亞太資安論壇,講授網路威脅新態勢與跨域聯防資訊。

隨著網際網路的蓬勃發展,因為網路犯罪造成之資料外洩的損失正快速成長,因此,資安的重要性越發被企業和使用者重視,根據亞太網路資訊中心 (APNIC) 的統計,企業最對資訊系統最為關心的就是資訊安全。而為了因應資通安全的需求,市面上之資安防禦設備供應商更是數不勝數。然而,即便有高強度之防禦系統,如何將「有做」轉為「有效」,是資安相當重要的一個議題。

對資通安全而言,要讓防禦真的「有效」,必須思考自己所建立之防禦系統究竟是「治標」還是「治本」?企業隨時都需要考慮自己要防禦何種類型的攻擊、攻擊樣態?攻擊樣態是否進行改變?偵測的規則為何、是否有效?以及最重要的是攻擊來源是否有透過相關單位進行處理。舉例而言,放大式DDoS攻擊是駭客透過殭屍網路的方式,大量偽冒目標受害者的IP去針對DNS、NTP伺服器等進行服務要求,導致IP遭偽冒主機會收到大量的要求回覆信息,使其伺服器或主機無法負荷如此大量的訊息而導致服務中斷。一般來說,此種攻擊手法都是以流量限制、流量清洗,以及阻擋透過網路情資所取得的可能為惡意的網域的封包。但這些方法均是治標而非治本,若要真正治本,應針對來源IP進行驗證,確定該IP是否真正屬於請求者,才不會遭受偽冒IP的惡意請求而導致此類偽冒IP的攻擊。另,BGP劫持,可以透過RPKI(Resource Public Key Infrastructure)驗證而大幅減少其威脅。此外,對於DNS劫持攻擊,可以透過將註冊資料鎖定、或隨時監控其網域而避免此攻擊手法的潛在威脅。

然而,針對大多數的資安防禦,都會牽涉到跨域聯防,必須透過彼此之間的互助,方能達到最佳的防禦效果。而TWCERT/CC和國際上許多資安組織都有合作關係,因此,本中心可透過這些資安組織,掌握第一手的資通安全資訊,達到跨域聯防的重要效益。除此之外,若國內企業/組織遭到境外IP攻擊,亦可將相關資訊交予本中心,本中心會將此訊息去識別化後轉給可處理之相關單位,例如企業遭受某國家IP攻擊,本中心可通報該國之CERT組織,並交由該國CERT組織進行相關之處理。目前已有企業透過本中心進行通報後,遭受攻擊之行為有逐漸改善,因此本中心所收之情報量以及來源單位數量都逐漸上升。

除此之外,本中心藉由推動台灣CERT/CSIRT聯盟,整合國內資通安全相關企業,進行資安事件情資分享以及應變通報之交流,以強化國內資安防護能量。目前正持續擴大該聯盟之規模,任何有興趣之企業均可至本中心網站進行了解及聯繫。

在今 (2019) 年第一季,本中心已通報20餘萬筆的資安訊息通報,並且提供相關資安預警資訊。由於相當多的資安事件均來自於網路協定的不完備和網路協定之更新或改版,而本中心洽隸屬於台灣網路資訊中心 (TWNIC),可以透過TWNIC所擁有之網路協定第一手訊息進行資通安全相關預警和通報。例如今年二月份的EDNS事件預警,本中心於1/29便提前獲得情資並發布於聯盟、國內資安分享系統中,較其餘國家—例如美國MS-ISAC以及新加坡SingCERT—都較早通知所有相關單位,以減少此事件對國內所有企業及個人造成之影響。

而針對資安漏洞部分,本中心目前為Root CNA,亦即為MITRE組織認證之CVE編號授權及發放單位,可對資安漏洞進行審核並發放CVE編號。目前本中心已接獲數件由國內自主發現之系統漏洞,在接獲通報後協助發現人和廠商進行協處和漏洞修補後,發放並公告CVE漏洞編號以及發現人於本中心網站。因此,若未來有任何漏洞欲取得CVE編號者,不須透過美國MITRE進行通聯和審核,可通報本中心,經由本中心審核後,便可取得CVE編號並公告於網站中。

TWCERT/CC是台灣所有CERT的協調中心,若有任何資安訊息,歡迎透過官方網站(twcert.org.tw)、免付費電話(0800-885-066)以及電子信箱twcert@cert.org.tw進行資安通報。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *