当前位置: > >【资安周报第57期】寻找台湾资安新动能系列报导(二):可疑档案

【资安周报第57期】寻找台湾资安新动能系列报导(二):可疑档案

03-12,IT资讯【资安周报第57期】寻找台湾资安新动能系列报导(二):可疑档案最新消息报导,口袋科技网(http://www.juren5.com)IT资讯

新年度政府编列资安预算创下历年新高后,也规画了8大资安旗舰计画作为完善政府资安的作为。只不过,除了各部会提出的8大资安旗舰计画之外,行政院资安处处长简宏伟表示,接下来资安处也会和国发会合作,联手改善政府内部网路结构和安全,以及透过和外部单位的合作,甚至是和学术单位的串连,更让政府资安可以做到里外应合。

尤其是,当政府公务人员越来越有资安意识的同时,简宏伟指出,开始有公务人员会将可疑档案上传VirusTotal平台检测是否是恶意档案的同时,有一些政府机敏资料却也因此外流。因此,简宏伟表示,政府也将结合TWCERT和国家高速网路中心的合作,打造台版VirusTotal检测平台,希望最迟今年年中,可以有检测平台雏形出炉。

资安旗舰计画的基础是开始建置一个一个产业和部会的的ISAC(资安资讯分享和分析中心),他认为,当点状的ISAC建置完成后,就可以开始进行不同ISAC之间的串连,这表示是不同政府内部部门和产业资安资讯的串连分享与分析,进而形成一个资安防护连线;到最后,不同连线之间的交织合作,就有机会让政府整体的资安防护可以从点到线到面,形成一个政府完整资安构面的综观。

将政府内部视为一个大内网,但部会内网之间仍有管控措施

国发会从以往研考会时代就是负责政府网路的建置,而接下来国发会资管处则会和资安处合作,一起强化政府GSN骨干网路的安全,简宏伟表示,透过改变GSN的网路结构,让整个政府都是一个大内网的概念。

他指出,现在政府逻辑上都在一个内网中,再配合国发会提出的机房整併计画,可以将14个部会以及所属的委员会,个别集中在各自部会所属的机房中,整个GSN是一个大内网,而各个部会及所属委员会则成为一个小内网,每一个内网之间的介面都必须有严格的安全管控措施,形成一道限制存取的防火墙,即便小内网之间爆发资安事件,也都不会影响到其他内网安全,可以做到真正的纵深防御。「政府的内网做好隔离之后,对外服务则透过共用的DMZ区连网,如此一来,就不需要筑万里长城。」他说。

简宏伟认为,我们都必须意识到,现在的资安思维已经和过往不同,没有无坚不摧的资安防护,必须要先承认「所有的资安防护都一定会被攻破」后再设法布局。所谓的防护就是风险的概念,要做的布局不是资安防线不破,而是透过点线面的资安感测系统,随时掌握资安动态。

例如,如何在内网被攻破的同时,可以即时知道受害的消息,并且设法做损害控制。简宏伟也以进击的巨人为例,当第一线城墙被攻破后,就退到第二线城墙;第二线被攻破后,就退到第三线城墙;随时都必须要有侦查队巡逻了解城墙内的安全状况并做防护。

甚至于,也可以设陷阱,因为,他认为,政府资安防护最重要的事情就是,不要外洩重要的资料。所以在作法上,除了让入侵到城墙里面的恶意程式(就是敌人)落入陷阱中,无法连回中继站(C&C server)跟骇客报到外,也可以选择让恶意程式回报中继站但带着我们设定的某些标籤(Tag),甚至于,让恶意程式进到内网但是拿到都是所谓的公开资料等等。他认为,透过这样的手法,都可以提升政府GSN的安全性,「整体架构设计对了,做到后来才会是对的。」简宏伟表示,当政府机房做集中化整併后,各个部会服务也能集中,就可以开始谈公用资讯系统的分享,连同资安也可以协同防护,政府资资讯和资安经费的应用才会更有效率。

「当政府开始强化对外提供服务品质的同时,就必须确保服务的安全性,因此,推动安全的软体开发生命周期(SSDLC)就有其必要性。」他认为,SSDLC不只是业界必须重视的议题,也要推广让政府机关必须採用,而业界从技术层面开始谈导入SSDLC,政府机关则从RFP(需求建议书)应该怎么纳入SSDLC的规定,一直到业者开发完后该如何验证等,政府必须制定一个让业界以及政府机关都可以遵循参考的标準。「未来新开发的程式都必须採用SSDLC,一步步汰换升级原有政府的系统。」简宏伟说。

打造资安战情室,彻底掌握台湾网路变化

?除了政府各个部会和产业要建置自己的ISAC外,简宏伟表示,目前政府原本旧有的资安战力就是委外给资策会的技服中心,这个从扁政府时代就建立的资安战力,虽然先前无法如期成立行政法人,但在政府资安事件的分析上,仍然扮演相当关键的角色。

简宏伟表示,技服中心的专案虽然恢复成原先委外给资策会执行,但是所有技服员工都是专职和专任技服的资安专案,资策会无权要求技服员工接资策会其他专案执行,甚至于,许多接触到机敏资料的技服同仁,都和公务人员一样受到严格的规範,出国前20天一定要提出申请,如果到中国甚至必须上层主管核可,即便离职后也比照公务人员的旋转门条款,依照原本的职务内容受到不同程度的规範。

因为技服中心具备实际的资安能量,未来,简宏伟希望技服中心可以成为一个政府资安资料的蒐集平台,包括政府骨干网路GSN以及其他外部机关像是TWCERT等单位的资安资讯,都可以彙整到技服中心,而资安处也会透过连网的方式,将技服中心蒐集到的资料,以仪表版的方式在资安处成立的战情室呈现,也藉此观察政府整体资安环境的变化。

不过,这个资安战情室除了提供技服中心彙整的资安动态外,也会将NCC(通传会)预计要做的台湾底层网路流量分析仪表版,同步呈现在资安处的战情室中。他指出,有多少人真正知道台湾每天有多少次的DNS Querry(查询),如果把政府内部GSN的DNS伺服器,设成是Google的DNS伺服器8.8.8.8的话,政府对外的连网路由(Routing)到底怎么连的,如果不能了解DNS怎么Querry、怎么Routing,存取网站是绕道外面再回来政府内部,内部防护做的再好也没有用。

如果网路等于马路,要知道马路的车流量,就要知道网路的流量才能管理。因此,NCC预计打造一个视觉化的流量监控系统,让资安处和NCC可以清楚掌握台湾底层网路的流量变化。

而他认为,这样的仪表版连线到资安处不仅可以即时掌握台湾底层网路流量的变化,如果真的有一天遭遇到爆量的Tbps级的DDoS攻击时,从仪表版的流量变化可以即时察觉,可以让更多人关注台湾的网路安全。

TWCERT和国网中心合作,打造政府恶意档案检测平台

中科院接手台湾电脑网路危机处理暨协调中心(TWCERT/CC),简宏伟认为,这是一个具有技术能量的单位,也具有军民衔接、平战结合的特色,先前因为管理和定位问题,因而未能发挥应有的战力,「但现在TWCERT/CC透过再次组织改组,将成为协助政府各部门检测恶意程式档案的入口网站。」他说。

他进一步解释,近年来因为政府积极针对政府部门宣导资安概念,有越来越多公务人员时时提高警觉,一旦遇到可疑不确定的档案,都会由资讯人员上传国外VirusTotal平台进行检测,看其他防毒软体是否可以侦测到异状。

简宏伟认为,公务人员现在已经有能力上传档案并做检测,但潜在的风险却是,有一些比较机敏的政府档案,上传到VirusTotal平台后,反而让其他国家可以付费会员方式,取得台湾的关键资料,对台湾带来潜在风险。

但他坦言,上传VirusToal对于降低政府面临的资安风险具有很大的益处,如果要公务人员不要上传VirusToal检测档案,政府必须要提供一个对应的解决方式才行。简宏伟表示,透过TWCERT/CC背后所拥有中科院的技术能量并同步进行网站改版,打造一个所有政府部门可以进行恶意档案检测的入口网站。

简宏伟表示,有了入口网站后,目前国家高速网路中心已经有一个类似ViruTotal的恶意档案检测平台,可以先将档案转成杂凑值后再做比对。不过,杂凑值比对的缺点就是,这个检测的档案一旦有任何地方有异动,杂凑值就会改变,因此,利用杂凑值比对恶意程式的成功率不高。

他说:「无法透过杂凑值比对,就必须透过沙箱做恶意程式的模拟和执行,」国网中心就要把沙箱标準化,必须先将原本研究用的服务,转变成商转且要设定SLA,要有标準界面可以独立提供测试模拟的沙箱环境。

未来,他认为,其他像是技服中心或者是其他部会,就不需要另外打造平台,直接将不同检测功能以沙箱方式整合到这个检测平台中,不论是鉴识沙箱或者是其他各种恶意程式模拟等独特技术,都可以新增成为平台新功能。

只要这样的平台上线,简宏伟表示,各种新增的沙箱功能立即可以提供各个政府机关使用,并开始做资安资料蒐集与分析,「新增的沙箱技术有人用,就可以产生资料并开始分析,形成一个正向循环。」他说,希望这个平台雏形最晚可以在年中出炉。

透过技服和学界合作,持续前瞻资安研究

简宏伟坦言,资安技术从攻击到防御变化快速,既有的ISAC或是外部单位的合作,其实都是从强化既有政府资安防护能力着手,但是,随着骇客攻击手法快速变化,政府也必须有能力掌握更先进的资安攻防趋势,「以前从学界研究到实务可以应用甚至转换成政策走向,中间有很大的鸿沟,所以,未来将由技服中心出题,学术单位进行相关的前瞻资安研究,学界和技术结合就是未来可行的合作方向。」他说。

目前,像是资通安全研究与教学中心(TWISC)已经由几个大学发展出区域中心并且有各自的特色,资安处也和科技部以及TWISC讨论,希望接下来学界可以协助台湾在前瞻资安技术上,可以主动的提供更多类似AI机器学习在资安的分析应用,而不要只是为了做论文升等相关研究而已。

简宏伟表示,透过这次和科技部以及学界的合作发现,其实有许多学界有很多很棒的资安技术研究成果,但是政府都不知道当然也就无法用在政府像是技服中心这样的场域中。他认为,学界需要资料作分析,而资安处可以提供学界需要的资料作分析,毕竟政府每天都在蒐集资料;但是,政府需要有好的分析技术和方法,学界就可以提供这样的分析能力,两者就可以一拍即合。

政府资安布局慢慢从点连成线到织成面,他认为,除了需要政府部门全力配合外,也必须鼓励民间企业的积极参与,透过资安战情室掌握台湾网路底层路由状态,到政府网路结构调涨、部会打造资安联防系统,一直到协助完善国家的资安攻防体系,预计打造台版VirusTotal平台作为政府部门检测恶意档案的替代方案,并且透过技服中心和学界的合作,持续保有前瞻资安研究的能量并进行高等资安技术转移,科技部也会进一步向学界徵求更新的研究方向和想法。

「现在是鸭子划水阶段,」简宏伟表示,政府种种的政策作为,就可以慢慢让台湾政府的资安防护有一个足够基础,加上所有的标準作业模式(SOP)都会出炉,整套作业模式甚至有机会複製到不同领域甚至其他国家。

?

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >