依國際標準制定應變流程　定期演練化解資安危機

中華資安國際鑑識科經理劉叡觀察，目前資安成熟度較具水準的政府、金融業，推動因素是法規遵循，高科技製造業則是來自訂單客戶對於供應鏈的要求，須遵循國際資安規範，藉此獲得訂單客戶的信任，提高企業商譽與營收。

近年來探討較多的資安事件應變（IR）服務，可說是中華資安國際的強項之一，其擁有ISO 17025認證的數位鑑識暨資安檢測中心，可提供資安事件應變、數位證據保全、數位鑑識、資安事件應變標準執行程序（IR Playbook）四大服務，IR團隊平均每年處理上百件資安事故，今年大多是協助企業處理APT、加密勒索、資料外洩攻擊，採取緊急應變程序與調查入侵管道。

遵循NIST標準建立應變處理指南

在加密勒索病毒猖獗、資料外洩事故頻傳的狀況下，各行業逐漸開始願意投入資源提升資安防護力，尤其是擁有高經濟價值資料、應用場域停擺將導致巨額損失的企業，除了定期接受資安檢測，內部亦須增添建置完整的資安事件應變體系，便可委由中華資安專業團隊協助落實。 劉叡指出，IR服務遵循NIST SP 800-61 Rev. 2提及的資安事件應變處理指南，把資安事件處理的生命週期分為四個階段，首先是在平時得做好準備，其次是要有偵測資安事件的能力，第三是能夠應變與抑制感染範圍，第四是追蹤檢討與改善，避免類似事件再發生。

他進一步說明，IR團隊首先依據NIST標準來執行差異分析，提交報告中給予建議執行方向，企業高層同意後隨即著手修訂資安事件應變標準執行程序，例如面對加密勒索事件時，首先召開會議、參與人員、運用既有工具嘗試緩解等動作，事先可先行標準化，並執行災害演練，如此才可讓各單位同仁按照交戰手冊執行儘速解決問題。讓企業事先做好充足準備，萬一發生時便可控制損害範圍，降低影響程度。

串連弱點成功滲透入侵

針對去年（2021）國內上市櫃公司共發布16起重大資安訊息揭露資訊，劉叡觀察，儘管上市櫃公司受到法規規範要求落實風險評估與持續改善，但較可惜的是涵蓋面通常不夠完整，存在多種資安缺失，讓攻擊者仍可串連建立入侵管道。例如部署資安防護措施的範圍，可能只著重在總公司，海外據點則不完整，駭客便會挑選防禦力最弱的據點下手攻擊，再伺機透過內網移動到總公司，滲透到關鍵任務系統。

以實際處理案例的經驗來看，加密勒索軟體得以成功感染，通常是串連多個易被輕忽的弱點而成，攻擊者從潛伏在應用場域、摸清IT網路架構與資產，直到控制關鍵任務系統，往往精心佈局至少二個月。絕對不是某個員工遭社交工程郵件滲透，隨後就會立即引爆大規模感染，而是駭客先潛伏搜集資產資訊、取得高權限帳密，以及了解資安防護機制的部署狀況，並在執行攻擊前先解除偵測防護，以免發動過程被破壞。

當企業資安防護的涵蓋面不夠完整，攻擊者發現後即可利用來嘗試滲透，典型案例即企業對外的官方網站，由於僅提供公開的產品或服務簡介，容易被輕忽資安防護，因此經常遭攻擊者植入後門程式，藉此滲透到內部網路，橫向移動並竊取高權限帳密，進而利用混合辦公期間全面開放使用SSL VPN連線存取資源來進行攻擊。此時若VPN未設置雙因素驗證，攻擊者即可順利進入企業內網，再加上內網缺乏隔離機制，便能輕易地完成竊取機敏資料、植入加密勒索軟體。

Telco-Centric上網安全解決方案

中華資安國際是台灣少數可提供Telco-Centric上網資安解決方案的公司，透過從電信機房局端直接阻斷惡意連線、部署保護措施，運用次世代防火牆（NGFW）、入侵偵測系統（IPS）、企業防駭守門員等機制，讓電路用戶得以租用。

在資安專業服務方面，中華資安國際涵蓋事前檢測、事中監控、事後調查的一站式服務項目，連年獲得行政院資安服務廠商服務項目評鑑為A級的資安健診、弱點掃描、滲透測試、社交工程演練，以及SOC監控服務，皆已奠定豐富領域知識。

除了服務項目，中華資安國際亦自主研發SecuTex先進資安威脅防禦系統，可說是技術團隊在處理大量資安攻擊、事件調查與分析後累積知識的結晶。其藉由SecuTex NP側錄網路封包，並解析資料運行檢測與鑑識，整合沙箱技術經由資安專家判讀，可從網路層釐清事前與事中的惡意活動樣貌。搭配SecuTex ED端點檢測工具，以政府組態基準（GCB），提供軟體更新、惡意活動偵測等機制，還原整起入侵軌跡，提高事件調查與鑑識效率。另一項新產品是CypherCom端對端加密通訊系統，為中華電信集團自行研發的軟硬體元件，硬體安全元件保存私鑰已通過FIPS 140-2 Level 3安全認證，安全強度極高，讓企業高階主管放心地透過網路通話，無須擔心遭竊聽。

針對OT場域，例如製造生產、工控、軌道等環境，中華資安國際透過鑑別、評估、感知、制度、防護與監控六個安全防護要點，協助製造業與關鍵基礎設施產業盤點資安風險並持續改善。其中，鑑別是執行盤點資產與權限識別，評估是執行資安健診與風險評估，感知是建立正常行為基準線與偵測惡意威脅，制度是導入國際認可的IEC 62443管理程序，防護是資安架構設計與部署防護措施，監控則是導入7×24小時的SOC監控並建置資安事件應變能力。

劉叡說明，執行方法是依據NIST網路安全框架（CSF），輔以MITRE ATT&CK檢視應對攻擊手法的防禦措施，讓工控網域的資產、網路及整體架構，進行全方位檢測與分析，並擬定改善方案，強化場域防護水準。