【资安周报第69期】台湾关键基础设施专属应变团队在哪里？

乌克兰电厂在2015年12月23日的耶诞节前夕，遇到无预警的大规模停电，后来经过资安专家确认，该电厂是被植入针对关键基础设施的恶意程式BlackEnergy。这起事件引发全球关注，连美国关键基础设施的工控系统网络紧急应变小组（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）等团队，也都飞往乌克兰协助鉴识和处理相关的资安事件，找出攻击事件的相关线索和对抗相关的威胁。

关键基础设施的资安威胁最早是从恶意程式Stuxnet攻击伊朗核电厂揭开序幕，也因为关键基础设施攸关许多民众的生命与生活安全，美国对于这样的资安威胁也非常在意，因此，关键基础设施的资讯安全一直是美国政府高度关注的重要资安议题。

根据美国ICS-CERT统计2016年美国财年所通报的资安事件，总共有290起资安事件发生，其中，有63起发生在关键基础设施产业的资安事件，另外有62起发生在通讯产业，另外有59起发生在能源产业；除了产业别外，在290起资安事件中，也有26％是鱼叉式钓鱼手法（Spear Phishing）引起的，网络扫描与探测的资安事件也有12％；另外也成立专属团队，协助处理187个工控系统相关的漏洞，并协同其他资安业者降低其他305个漏洞的风险。

从美国ICS-CERT的统计资料可以清楚发现，该单位可以清楚掌握包括：化工产业、商业设施产业、通讯产业、关键制造业、水库产业、国防工业、紧急救护产业、能源产业、金融服务产业、粮食与农耕产业、政府部门、医疗保健与公共卫生产业、资讯科技产业、核能反应材料与废弃物产业、交通产业、水资源与废水系统产业等16种美国政府纳管的关键基础设施产业所爆发的资安事件，也有能力协助各该产业紧急处理相关的资安风险。

相较于美国针对16个关键基础设施产业成立专属的ICS-CERT，借此汇整跨产业工控系统相关的资安事件作法，有效提升政府部门对关键基础设施爆发资安事件的掌握，但回头看看台湾，除了针对民间企业与国际协调通报应变的TWCERT/CC外，八大关键基础设施产业中，只有政府部门有技服中心成立TWNCERT、电信业者主管机关成立NCC-CERT外，其余关键基础设施并没有成立针对资安事件的紧急应变团队，更遑论效法美国成立关键基础设施专属的ICS-CERT。

台湾应效法美国成立关键基础设施专属团队ICS-CERT

目前台湾行政院资安处正在努力推动，希望第一个资安专法“资安管理法”可以尽速在行政院院会通过后，送交立法院进行三读审查。这个法案最大的特色就是，将行政院国土安全办公室规划的八大关键基础设施纳入资安管理法的管理范畴中，也就是说，未来包括政府机关、能源、水资源、通讯传播、交通、金融与银行、医院、高科技园区等关键基础设施产业，一旦爆发任何资安事件，皆有责任和义务跟该产业的主管机关通报。

目前台湾有针对民营企业成立的TWCERT/CC并兼具国际协调应变的责任，但在八大关键基础设施产业中，只有政府部门有技服中心成立的TWNCERT、电信业者主管机关成立NCC-CERT，其余关键基础设施产业并没有成立CERT组织。

根据行政院资安处汇整的八大资安旗舰计划中，也要求关键基础设施主管机关都必须建置该产业的ISAC（资安情资分享分析中心），其中一个很重要的关键因素就是，可以透过资安情资的分享与分析，掌握各个关键基础设施的资安风险等级与状况，而金融产业则预计成立F-ISAC（资安情资分享与分析中心）

只不过，台湾这些关键基础设施业者跟主管机关通报资安事件后，更重要的关键在于，相关的业者是否有能力处理相关的资安事件。毕竟，对相关的关键基础设施业者而言，只有资安情资的分享与分析是不够，如果台湾各产业的主管机关除了建置ISAC外，也应该仿效美国打造一个集合所有关键基础设施相关业者的ICS-CERT，并成立相关的资安事件处理团队（IR Team）的话，才是真正对于关键基础设施业者有实质效益的作法。

除了成立资安和漏洞处理小组，ICS-CERT也研发软件做风险评估

美国ICS-CERT主要的任务就是减少国家关键基础设施的风险，成立一个资安事件紧急应变小组就是希望可以减轻网络安全事件，对全美16个关键基础设施产业的工业控制系统造成的影响。对于这些关键基础设施的民营业者而言，ICS-CERT成立的资安事件紧急应变小组带来一个重要的价值就是，可以协助受骇业者定义出资安风险影响的程度，骇客使用哪一些攻击手法和技术，并且协助业者发展出减缓、复原、强化网络防御能力的资安策略等等。

由于网络资安风险复杂性越来越高，因此，ICS-CERT也会和其他国际的CERT组织，以及一些民营单位组成的CERT组织一起协同合作，也会和其他各个不同的的电脑安全事件回应处理小组（CSIRT）分享针对工控系统爆发资安事件的因应处理方式。

因为ICS-CSRT有绵密的情资分享和国际与民营资安机构的合作经验，对于强化相关的网络安全防护能力有很大的提升，光在美国2016财年期间，ICS-CERT就处理187个漏洞，并且和其他业者协同处理305个漏洞。

以2016年处理的资安事件为例，资安事件紧急应变小组不仅率先从一起网络攻击事件，发现到这个资安事件带来的后遗症就是会影响到电厂的实体安全；也从其他资安事件的处理经验中，找到针对水资源控制系统可以进行远端遥控存取的低阶恶意程式，也因为可以事先发现，就可以做到事先预防处理。

ICS-CERT除了有资安事件处理团队外，也有成立一个漏洞协同处理小组（Vulnerability Coordination Team），这个单位会和美国联邦政府、州政府、区政府、关键基础设施业者、维运者以及关键基础设施设备业者等一起合作，从五个步骤处理找到的关键基础设施的漏洞。

这五个步骤，第一步就是：侦测与搜集相关的漏洞资讯，主要是从各种漏洞研究报告搜集相关资讯，也有一些是从资安研究者直接提供的漏洞资讯，并从中学习并排除一些错误的警告资讯，对每一个漏洞提供正确的分类；第二步就是分析漏洞，这个团队和关键基础设施设备业者的分析师合作，检视漏洞的程度并定义出所有潜在的威胁。

第三步是协同其他资安业者减缓漏洞风险，不论是提供相关的漏洞修补程式（Patch）或者是测试漏洞是否修复都算。第四步是应用程序漏洞修补，该团队会和资安相关的资安业者在漏洞对外公开揭露前，完成相关的测试与漏洞修补，减少对终端使用者的影响；最后就是公开漏洞，在所有的资安业者与该团队收集到所有技术与威胁资讯后，公开相关的资安警告并提出修补建议，以提醒使用者注意这个漏洞带来的风险。

ICS-CERT也深知，只有靠人力处理资安事件在速度与效率上，是远远无法满足使用者的需求，因此，美国国家实验室（SNL）则花费一年的时间研究，开发出一套协助ICS-CERT做评估的原型工具。在2016财年，ICS-CERT针对分布在19州的12个关键基础设施产业，总共进行了130次网络安全风险评估，其中，有32次是使用CSET自我评估工具所进行的评估，另外55次是检视设计架构（DAR），另外43次则是针对网络架构验证和有效性做评估（NAVV）。

若以ICS-CERT研发的网络安全自我评估工具CSET来看，在2016年2月释出7.1版，9月释出8.0版，可以协助关键基础设施相关的维运和资安业者，进行系统性、规律性并且可重复执行的完成相关资安风险评估。除了美国自己境内单位使用外，该评估软件也全球在120个国家，下载超过一万次。文⊙黄彦棻