中芯數據吳耿宏：資安威脅訊息過量成為資安例行維運的大挑戰

（本文為 2018 網路資訊「無邊界網路安全研討會」台北場之會後報導）

「截至目前為止沒有一個資安設備可偵測出所有資安威脅，為此需同時配置多種資安設備來提高防護力，然資安設備配置愈多產生的警訊也愈多，需要愈多人花心神去關注處理，但企業主卻認為設備愈多資安人力當更精省。」中芯數據技術長吳耿宏直言今日資安防護實務上的弔詭處境。

另一個讓企業無力的事實是，許多重大資安事件發生後，事後追查的結果發現，威脅早已入侵、潛伏在企業內長達數個月，有如此寬裕的時間企業依然沒能在事件發生前偵測與排除威脅。

資安問題更令人擔憂的是攻擊已高階化，過去的資安防護如同中世紀的攻城戰，把護城河築深、城牆築高就好，底層防禦堅固即可安穩，而今攻擊者用的是精準飛彈臨空而來，底層工事毫無用處。例如企業雖建立防火牆、入侵偵測，但企業內人員接收並打開一個標題為「恭喜您中了最新的 iPhone」的引誘信件，資安威脅即喬裝成「使用者正常行為」登門而入，防禦功虧一簣。

再者，企業面臨資安事件難再掩蓋的壓力，資安法規日益嚴格，資安事件發生後政府要求企業通報（2018 年 5 月通過），目前國內法規尚算寬鬆，只需要向主管機關通報，且罰則輕（最高 500 萬新台幣），國外已要求企業須向夥伴、客戶通報，且罰則重，客戶甚可能向企業求償等，未來有可能向國外標準看齊。

資安事件發生後更令人討厭的是鑑識工作，平日未事先發現威脅徵兆，威脅在內部潛伏、移轉、擴散最後釀成災禍，此一完整脈絡難以拼湊，請專人來鑑識又所費不眥，追查專人的費用是以「每人每天」在計。為能理出完整脈絡平日就必須詳整關注資安警訊，然如前所述「更多設備、更多警訊、更多人力」，訊息數量的龐大龐雜成了資安例行維運的大挑戰。

以上可體會，將大量資安警訊的監督工作委外是較理想的作法，不僅處理平日例行資訊，也能完整追查威脅動向。吳耿宏親自講解一個典型的鑑識實務流程，企業內的一個端點發現一個不明的背景常駐程式，發現其機碼與正常機碼不同，進一步追查發現該程式產生的時間點與來源來自一個 Excel 試算表，顯然是個巨集型 (macro) 惡意程式，追查試算表開啟的檔案名稱與連結，最終發現是電腦接收到一封標題為「健保勞保法規更新」的惡意電子信件，點按信件中的連結，造成一連串的資安威脅發展。

此僅為一個追查，若企業內有 20 個人收到相同信件？有成千上百台電腦要查核是否已被感染，就成了一大難題。

鑑識是一功課通報則是另一功課，中芯數據在監控、鑑識外也能給予企業建議，當以何種方式向主管機關通報更為適切，例如台積電之前的廠內資安事件，不僅對主管機關通報，也須向廣大投資者、媒體、社會大眾交代。

最後吳耿宏提醒，企業確實花許多資源與心力在資安上，然多數是在前段的偵測、中段的分析層面，對於後段的處理層面則容易輕忽，唯重視與補強此層面才能擁有完整防護。