HOME 回資訊服務處首頁 Login
ITs通訊
搜尋電子報


含詳全文
訂閱電子報
請輸入E-Mail
 
 
2016.08.18 2016年第16期 設為首頁 | 加入最愛 | RSS 訂閱
最新電子報 | 下一期 | 各期電子報


   
中央研究院資訊服務處通訊
中央研究院資訊服務處發行
2016年第16期   民國105年8月18日
8月11日至25日舉辦本院新版網站版型設計票選活動

 為迎合時代潮流,展現本院新氣象,資訊服務處刻正著手對本院網站首頁進行改版。此次,經參酌一些國內外代表性的學術機構網站後,初步設計三款首頁版型,三款均採大版面圖像搭配精簡的資訊單元選單所組成,相較於現有的首頁,更顯得大方與清爽。

 為使新網站更貼近院內同仁的期望,資訊服務處特別舉辦「網站改版票選活動」,期望所有同仁能踴躍參與本次票選,一起選出心目中理想的網站新樣貌!

 票選期間:105年8月11日(星期四)上午9時至8月25日(星期四)下午6時,共計15日。

 票選網址:http://bit.ly/2b7A8zT

Top

微軟發出重大等級安全公告,請立即進行更新

一、重大等級安全公告:MS16-102、 MS16-099、MS16-097、MS16- 096、MS16-095

二、漏洞說明:

  • MS16-102:Windows 10的Edge瀏覽器如預設瀏覽器自動呈現PDF內容,容易被駭客偽造的PDF文件開採PDF Library漏洞, 讓駭客就能取得電腦掌控權。受影響產品包括Windows 8.1、Windows Server 2012與Windows 10。
  • MS16-099:修補4個記憶體毀壞漏洞, 相關漏洞影響微軟的Office產品,可導致遠端程式攻擊。
  • MS16-097:修補位於Windows、Office、 Skype for Business及Lync所使用之Microsoft Graphics Component的3個漏洞, 同樣可用來執行遠端程式攻擊。
  • MS16-096:Microsoft Edge瀏覽器的累積安全更新, 修補了Edge中的8個安全漏洞,最嚴重的漏洞只要引誘使用者檢視惡意網頁就能執行遠端程式攻擊或取得使用者權限。
  • MS16-095:修補位於IE的遠端程式攻擊與資訊外洩漏洞。

三、影響範圍:Windows 8.1、Windows Server 2012與Windows 10。

四、防護建議:
 微軟已於本周二(8/9)的例行性更新中釋出了9個安全公告,總計修補32個漏洞。請轉告單位使用者立刻進行微軟安全性更新,以降低被入侵。

參考資料:

  1. http://www.ithome.com.tw/news/107657
  2. https://technet.microsoft.com/en-us/security/bulletins.aspx
Top

近期惡意信件整理
 惡意電子郵件主要利用網路使用者的好奇心及其他人性弱點,以聳動的標題、關鍵字或內容,誘使使用者開啟藏有惡意程式碼、附件,或是惡意外部連結的電子郵件;有時,該郵件並會結合新聞時事,或是假冒使用者所認識的往來對象來寄送郵件。使用者於開啟惡意電子郵件後,所使用的電腦設備將可能被植入後門或木馬程式,造成機敏資料外洩之風險。

 同仁除了應定期對所使用電腦之作業系統(如Windows)及應用軟體(如Office、Java等)進行修補程式之更新外,另於開啟電子郵件時,亦請特別留意含有以下所列主旨、內容及附件之郵件:

一、資訊服務處資安組彙整近期院內同仁收到之惡意信件主旨及附檔名供參考:

  • Greeting to you,
  • 行銷優化 排除無效廣告 不收行銷代操抽成
    • 寄件者:流量優化中心<eiaexkyqfxx@cht.com.tw>
    • 內文超連結會導向至IP 166.62.6.44,已被認定為惡意IP。
  • 如何公示或告知,更符合仲裁或訴訟的舉證要求?
  • File: Scan(10)
    • 寄件者:Georgette <Georgette750@sinica.edu>
    • 含惡意附檔Scan(10).docm。

二、有關惡意信件判斷方式可參閱ITs通訊「近期惡意信件案例分析」一文。

Top

資安通報
 資安通報資訊,主要根據「國家資通安全會報技術服務中心」所發布的資安消息而來,舉凡病毒漏洞、弱點檢測、微軟資安等均為通報的主要內容,近期值得同仁關注的資安通報如下,請使用者留意,並儘速更新相關程式及軟體!
Top

資通安全教育訓練課程公告

一、資安宣導課程

報名處

課程名稱

報名梯次

上課地點

建議對象

1.資安宣導課程-主管課程

課程已結束

資安宣導課程-案例分享、資安防護重點及社交工程等

105/05/19

11:00-12:00

人文館第二會議室

各單位主管

(所長/副所長、主任/副主任、資安長、資訊室主管…等)

課程已結束

資安宣導課程-案例分享、社交工程及行動資安等

105/08/17

11:00-12:00

人文館第一會議室

點我報名

資安宣導課程-案例分享、行動資安及165防詐騙宣導等

105/09/20

11:00-12:00

人文館第一會議室

2.資安宣導課程–綜合主管及一般課程

課程已結束

資安宣導課程–綜合主管及一般課程

105/06/23

13:30-16:30

台大院區
數學所會議廳

數學所、原分所、天文所主管及同仁

3.資安宣導課程–一般同仁課程

課程已結束

資安認知宣導

105/05/19

13:30-16:30

人文館第二會議室

全院同仁

(行政、會計、總務人員等單位內資訊系統的使用者)

課程已結束

105/08/17

13:30-16:30

活動中心第一會議室

點我報名

105/09/20

13:30-16:30

人文館第一會議室

二、資安職能訓練

報名處

課程名稱

報名梯次

上課地點

建議對象

課程已結束

4.資安防護專業課程教育訓練(行動資安防護技術)

105/07/21

09:00-12:00

人文館第一會議室

各單位資安聯絡人
(資訊人員)

課程已結束

105/08/03

09:00-12:00

點我報名

105/09/12

13:30-16:30

課程已結束

5.政府機關(構)資通安全責任等級分級作業規定及資訊系統分級與資安防護基準作業規定輔導課程
(規定講解及應辦事項說明)

105/05/12

13:30-16:30

人文館第一會議室

★各單位資安聯絡人
(資訊人員)必修

課程已結束

105/08/03

13:30-16:30

課程已結束

6.ISO/IEC 27001:2013標準簡介

105/06/01

09:00-12:00

人文館第一會議室

★各單位資安聯絡人
(資訊人員)必修

課程已結束

7.ISMS導入教育訓練
(職能訓練,標準及管理制度建議說明)
★評量通過後,將發給上課證書(共兩堂,16小時)

105/05/13

105/05/18

09:00-17:00

地球所會議室

★各單位資安聯絡人
(資訊人員)必修

點我報名

8.內部稽核教育訓練
(職能訓練,稽核過程與稽核實作說明)

105/09/28

09:00-17:00

人文館第一會議室

各單位資安聯絡人
(資訊人員)

點我報名

9.資安通報訓練與演練

105/09/06

13:30-16:30

人文館第一會議室

各單位資安聯絡人
(資訊人員)

資通安全教育訓練課程說明:

1.配合本院資安責任等級調整為B級,每年度各類人員資安教育訓練時數要求如下:

    (1) 資安人員(資訊人員)至少12小時。

    (2) 主管人員3小時。

    (3) 一般人員3小時(一般人員定義: 如行政、會計、總務人員等單位內資訊系統的使用者)。

    註: 資安聯絡人(資訊人員)必修課程,各單位可報名1~3個名額。

2.教育訓練課程亦有數位內容(含評量),供各單位人員後續學習使用。

3.所有參訓人員均需參加課後評量,其中項次7- ISMS導入教育訓練課程,評量通過後將發給上課證書。

4.開課前將公告於資訊服務處教育訓練網頁。


 

Top

資訊推廣課程公告

上課日期 課程名稱 建議對象 地點
105/08/24
14:00-17:00
Windows10作業系統操作 1.使用過Windows7的同仁
2.想認識Windows 10新功能的同仁
人文館
遠距會議室

Top

二項資料庫開放使用

 以下資料庫開放使用,歡迎試用 :

Top

9月2日至5日第十三屆台北3C電腦電器空調影音大展
 「2016台北3C大展」將於9月2日~9月5日,一連四天,在台北世貿一館展開。
  • 展出日期:2016年9月2日(五)-9月5日(一)
  • 展出時間:10:00~18:00
  • 展出地點:台北世貿一館 (台北市信義區信義路五段5號)
  • 客服專線:02-2759-7167
  • 官方網站:https://3c-fair.top-link.com.tw/?income=9333
  • 注意事項:
    • 學生免費參觀(25歲以下憑學生證免費換票入場)
    • 平日不開放兒童入場,僅假日9/3、9/4開放115公分(含)以下兒童入場參觀。(依入場規範辦理)
    • 本展之產品、活動、價格、贈品皆以現場公佈為主,大會保留所有更改之權力。
    • 基於安全考量,謝絕寵物入場。
Top

淺談資安防禦哲學與CSIRT

壹、 前言
 近年來各行各業的資訊安全事件頻傳,部份資安事件造成企業巨大的財物損失,並且危及企業的生存。藉由媒體對資安事件的大幅報導,讓社會大眾對資訊安全的重要性有了基本的了解,企業界也在資訊安全的相關防護上投入了相當的人力與財力。然而,如何以最小的投資達到最大的防禦效益,而且又能降低對資訊安全設備無止境採購的需求,已是企業界現階段真正要面對的課題了。

 本文將針對上述總總問題,介紹去年Blackhat曾談及的資訊安全防禦思維,以及針對CSIRT的機制及未來如何進行資訊安全措施,做一較深入的探討,希望能提供一個思考的方向。

貳、 安全議題

 
圖1 Blackhat USA 2015會場(圖片來源:筆者拍攝)

 Blackhat USA 2015 去年在美國拉斯維加斯舉行,其中Splunk研究團隊發表了以《從誤報到可操作的分析:行為入侵偵測機器學習機制與資安維運中心 (From False Positives to Actionable Analysis: Behavioral Intrusion Detection Machine Learning and the SOC)》為題之研究。該團隊經過了經年累月的努力,在全世界收集了超過九千個惡意程式樣本,依其研究,平均每個惡意程式含125行的程式碼,但為了做到防禦這些惡意程式,光是防禦單一個惡意程式就需撰寫一萬行程式;再者,在市面上的產品質量不確定的情形下,資訊安全市場其實是個資訊不對稱的檸檬市場(Lemons Market),相關產品將呈現品質下降的趨勢;另外,一般企業的思維是,等出事了再來評估資訊安全產品,「除非為時已晚,否則我不買這些資安產品」。因此,Splunk研究團隊的講者Joseph Zadeh介紹了對於防禦的哲學及該團隊發展的理論。

參、 防禦的哲學

 
圖2《復仇忠孝傳(報讐忠孝伝)》中所繪之宮本武藏(圖片來源:Wikipedia)

 在資訊安全領域中,對於「防禦」這件事一直未有較為大眾認同與接受的概念或作法。在這場演說中,Joseph Zadeh引用了一句英文名言:

"If you know the Way broadly you will see it in everything."

 這句話的原創者並非來自西方的哲人,而這句話的原文也不是來自英文。這句話其實是出自日本江戸時代初期的劍術家與兵法家,是「二天一流」劍法的始祖宮本武藏(Musashi Miyamoto)。上述英文句子出自於他所著之既為劍法也為兵法的《五輪書》之地之卷,此章節為本書之大綱與導讀解說,亦在本卷初步解釋二天一流的兵法意涵。上述英文名言應出自於以下段落:

『其道にあらざるといへども、道を廣くしれば、物ごとに出合事也。』

 宮本武藏的這番話,後世解釋為宮本武藏對於「武士道」的解讀:「武士道跟其他的修煉之路(儒家、道家、茶道家、舞蹈家)不同,只要你能清楚武士道為何物,你就可以很自然地與你人生中所遇見的其他道路相對應。」

 
圖3 Joseph Zadeh介紹宮本武藏(圖片來源:筆者拍攝)

 Splunk研究團隊認為,宮本武藏的這番哲學,與「碎形理論(Fractal Theory)」十分相近。碎形又稱分形、殘形,一般被定義為「一個粗糙或零碎的幾何形狀,可以分成數個部分,且每一部分都近似整體縮小後的形狀」,即具有自相似的性質。

 
圖4曼德博集合(Mandelbrot Set)是碎形的很好例子(圖片來源:維基百科)

 簡而言之,碎形理論下產生的形狀,無論從大而觀或從小而見,都十分相似。Joseph Zadeh認為,「資訊安全」結合了偵測、防禦及回應於一體,因此不管從單一系統去檢視,抑或是從整體企業去規劃,無論規模大小所做的事情應為十分類似。因此在他們的白皮書《規模防禦:為資安維運中心建置中樞神經系統(Defense at Scale: Building a Central Nervous System for the SOC)》中,發展出一個數學公式,以偵測惡意行為的手法、技術與過程(Tactics, Techniques, and Procedures (TTPs),包含攻擊特徵、惡意軟體、暴露之弱點、使用工具、事件架構、受害目標等),並認為此套理論可以被利用在各種不同使用情境及規模,這樣的防禦方式稱為「碎形防禦(Fractal Defense)」。

 已有越來越多資安產品強調以「行為模式」偵測並防禦攻擊行為,Joseph Zadeh認為,透過機器學習機制,掌握攻擊者的行為特徵(包含手法、技術與過程),比起利用變動頻率越來越大的IP及域名黑名單或特徵(Signature)偵測,無論攻擊或應用的規模大小皆可達到有效防禦。若想對Splunk研究團隊的「碎形防禦」及其發展出的安全防禦架構Lambda Security有更進一步的瞭解,可逕行至參考資料來源1與2之連結,進一步深入研究。

肆、 CSIRT簡介
 鑑於網路攻擊事件的規模越來越大,因此,需要一個統籌協調機關,進行資訊安全通報之統籌工作,必要時提供適當協助。

一、 簡史
 CSIRT在一開始並非稱為CSIRT,而是CERT (Computer Emergency Response Teams)。全世界第一個CERT是由美國卡內基美隆大學(Carnegie Mellon University)成立,起因為調查1988年的莫里斯蠕蟲案(Morris Worm,依據美國1986年的《計算機欺詐及濫用法案(Computer Fraud and Abuse Act, CFAA)》而定罪的第一宗案件)。至此之後,卡內基美隆大學更成立CERT/CC (CERT Coordination Center)作為各地CERT的協調中心,各地的CERT亦如雨後春筍般冒出。後來,因為其他CERT想要與登記在卡內基美隆大學校內的CERT有所區別,因此紛紛改以CSIRT (Computer Security Incident Response Team)為名。國內則有TWCERT/CC(台灣電腦網路危機處理暨協調中心)、TACERT(台灣學術網路危機處理中心)及GSN-CERT/CC (GSN政府網路危機處理中心)等含CERT字眼之組織。

  
圖5 TWCERT/CC、TACERT及GSN-CERT/CC(圖片來源:各單位網站截圖)

二、 功用
 如CSIRT文字本身所述,即是負責電腦相關安全事故對應處理之團隊。更進一步可定位為「類似組織內部災害應變機制的緊急應變團隊」或「資訊系統實際應變負責小組」,前者指檢視是否依循組織內部持續營運計畫或ISMS,後者指負責來自團隊外部委託的對應處置。

 CSIRT平時負責協助組織內安全相關政策的施行,並作為組織的安全代表與外部進行情資交流;一旦有事件發生,必須有能力確實掌握狀況應變,將災害減至最輕,並隨時接受外部情資,有必要時須與管理層報告。

三、 業務
 業務範圍依組織所屬之事業及目的而定,並從組織內商用系統、內部系統、特殊用途系統、全部的資訊系統中挑選可涵蓋的對象,並針對特定威脅、網路安全威脅或非網路相關安全威脅有清楚定義。

四、 必要人才
 日本NTT DATA安全事業部事件回應部長植草祐則認為,理想的CSIRT所含的人才,應包括擁有豐富安全技術經驗及相關知識見解的人,並有事件管理能力、有耐心、具抗壓力的談判人員。如果發展到一個程度,CSIRT內成員可進行分工。如此,成員間有機會互相交流提升彼此技術能力;團隊的領導必須縱觀事件全貌,並提出適切的技術對應,以早日結案為首要目標。但現況是,由於每個人面臨事件的機會並不均等,因此,相關人才培育工作是既困難且耗時,此為「人才不足」的其中一個原因。日本對此情形,發展一套名為CyberRange的系統,作為日本國內教育機構及中央機關的演習系統,透過此系統,可以有效率的進行假想的網路攻擊,CSIRT成員可以面對各種攻擊情境及手法進行應變、操作、體驗的練習,更有機會縮短人才培育時間,並培養出一定程度的安全人才。

 
圖6 CyberRange
(圖片來源:《サイバー攻撃に対応できる組織づくりと、人材の育成》)

伍、 結論
 資訊安全防禦並不是哪裡有漏洞,就補哪裡的頭痛醫頭腳痛醫腳的處理方式,而是一個全面性預防的概念。如前面章節所述,「資訊安全」結合了偵測、防禦及回應於一體,必須綜觀進行部署,才能達到相較有效的防禦策略。然而,看起來再完美的系統或防禦計畫,都有讓攻擊者有機可趁之漏洞,此時,注重的就是「有效的處理與回應」,而CSIRT即是以此為目標之組織。國內的國家高速網路與計算中心,已於2014年宣布成立協助解決國際資安通報時的國際資安事件處理小組TWCSIRT (TaiWan Computer Security Incident Response Team,臺灣電腦安全事件應變中心),除了彙整國際資安事件通報,並提供進一步資安事件的緊急應變處理等支援(詳見參考資料14)。但CSIRT的人才培育始終是各國的難題,而日本的CyberRange系統或許可以作為可行的解決方案之一。

參考資料來源:

  1. Joseph Zadeh, George Apostolopoulos, Christos Tryfonas, and Muddu Sudhakar, “Defense at Scale: Building a Central Nervous System for the SOC”. URL: https://www.blackhat.com/docs/us-15/materials/us-15-Zadeh-From-False-Positives-To-Actionable-Analysis-Behavioral-Intrusion-Detection-Machine-Learning-And-The-SOC-wp.pdf
  2. Joseph Zadeh, “From False Positives to Actionable Analysis: Behavioral Intrusion Detection Machine Learning and the SOC”. URL: https://www.blackhat.com/docs/us-15/materials/us-15-Zadeh-From-False-Positives-To-Actionable-Analysis-Behavioral-Intrusion-Detection-Machine-Learning-And-The-SOC.pdf
  3. Yahoo!ジオシティーズ,《五輪書》〈地之巻—太刀の徳〉. URL: http://www.geocities.jp/themusasi2g/gorin/g104.html#r107
  4. Wikipedia, “Miyamoto Musashi”. URL: https://en.wikipedia.org/wiki/Miyamoto_Musashi
  5. 維基百科,《五輪書》. URL: https://zh.wikipedia.org/wiki/%E4%BA%94%E8%BC%AA%E6%9B%B8
  6. 維基百科,《檸檬市場》. URL: https://zh.wikipedia.org/wiki/%E6%9F%A0%E6%AA%AC%E5%B8%82%E5%9C%BA
  7. 維基百科,《碎形》. URL: https://zh.wikipedia.org/wiki/%E5%88%86%E5%BD%A2
  8. 林子煒,《淺談以STIX實現網路威脅情報標準化框架》. URL: http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3010
  9. 植草祐則,《サイバー攻撃に対応できる組織づくりと、人材の育成》,URL:http://www.nttdata.com/jp/ja/insights/innovation_eye/2016080301.html
  10. Wikipedia, “Computer emergency response team”. URL: https://en.wikipedia.org/wiki/Computer_emergency_response_team
  11. Wikipedia, “CERT Coordination Center”. URL: https://en.wikipedia.org/wiki/CERT_Coordination_Center
  12. ウィキペディア, “CSIRT”. URL: https://ja.wikipedia.org/wiki/CSIRT
  13. Wikipedia, “Morris worm”. URL: https://en.wikipedia.org/wiki/Morris_worm
  14. iThome,《國網中心成立首個國際資安事件處理小組》. URL: http://www.ithome.com.tw/news/91320
Top

  創刊日期:74年10月15日
  發行人 :王大為
    
  總編輯 :江世民
  編輯小組:葛行慧
    
  網站技術:網頁技術及出版組
  出版日期:民國105年8月18日
    
  服務專線:(02)2789-9866
  E-mail:publish@gate.sinica.edu.tw


訂閱與取消訂閱 | 各期通訊 | 中研院資訊服務處 | 中央研究院

本電子報所有文字、圖片版權為中央研究院所有,未經許可請勿轉載。
如對本報有任何意見,請
與我們聯繫。
   
 
 本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。