「落實」資安新法防護基準構面的關鍵5

然而，不是internet上所有加密流量都可以解開，Certificate Pinning與CAC Authentication無法解。陳志緯解釋，典型的例子Certificate Pinning是application，如Twitter，Skype，Window更新之類，SSLi針對它們有一個預定義的列表，可以設定SSLi-Bypass。CAC Authentication則用於自然人憑證、網絡銀行數位簽章，僅當特定的遠程服務器（Specified remote server，SNI）請求CAC時，它才會繞過SSLi。

此外，某些地區的法規是要求不允許解開加密流量，以保障使用端機敏數據的隱私權，如HIPAA，PHI，PCI/DSS等。A10已經作好分類，網管人員只要拉進去，就可以直接使用設定bypass.陳志緯舉例，「有公部門需求外對內提供Server Farm服務加解密，且內對外提供辦公區User Area流量加解密，但要維持現有構架，並提供URL Filtering，且只要從一、二個部門開始作，漸進式流量導入，這些都是SSLi可以做到的。」

數位化文書流程已經被應用在許多行業，無紙化、高效率、省時的優勢，龐大組織的簽署，過程涵蓋了內、外單位，上下不同層級，非常耗時。Adobe原廠委任技術顧問曹聖庚說：「與傳統紙本內部簽署工作比較，電子簽署可以大幅縮短至1天半的時間就可以完成。」

曹聖庚解釋電子簽名與數位簽名是不同的，其中的差別在於簽名法律和法規要求內容。數位簽名是大類別「電子簽名」的子集。傳統電子簽名使用各種方式驗證簽署者，如電子郵件、企業ID或電話驗證，但數位簽名只使用一種特定方式－簽署者會使用憑證是數位ID驗證身份，而這個ID通常由可靠第三方憑證授權單位簽發。

此外，曹聖庚提醒，數位簽名系統也需考慮到文件系統及雲端平台，尤其文件有上雲需求的情況。「政府單位如果有使用Microsoft 365，One Drive，Teams…數位簽署系統要能夠與之整合，直接插件使用。」

資安新法之端點響應

資安新法裡面提到被核定的A級和B級公務機關一年內，完成資安弱點通報機制導入作業；二年內完成端點偵測機制導入作業。就內文來說，「端點偵測與應變機制，指具備對端點進行主動式掃描偵測、漏洞防護、可疑程序或異常活動行為分析及相關威脅程度呈現功能之防護作業。」

中芯數據技術經理孫維嶸提醒，「這項目重點應該放在『異常活動行為分析』，這牽扯兩問題：一個是行為、一個是分析。」要先記錄到數據，才看得到行為。分析由誰分析、分析的準確度，這都是資安新法的重大影響。他說，「如果沒有搞清楚，不但加重資安人員的工作負擔，更無法提高資安防護的能量。」

目前大家關注的勒索軟件，孫維嶸也以日本電玩開發商卡普空為例，提出釐清：「真正的問題是勒索病毒還是黑客攻擊？卡普空『被盜走1TB數據』、『黑客利用電腦合法工具PowerShell竊取帳號』，以合法工具掩飾非法攻擊，這不是單純的勒索病毒，而是黑客攻擊行為。」剖析黑客攻擊的重點有二：

黑客如何在單位內部找到重要的主機？他怎麼知道哪一台？

黑客如何從中偷取真正重要的檔案？他怎麼知道檔案在哪裡？

孫維嶸點出，APT攻擊煉的中間三步：放入後門、收集信息並提權、橫向擴散，正是解決勒索攻擊的重點。「當未知的惡意程序進來時，『檔不住』才是往往讓單位損失最大的惡意行為。駭客入侵時會建立後門，並使惡意程序於每次開機皆能啟動。放入後門後，有收集信息跟提權的動作，黑客透過工具竊取設備密碼。不是暴力破解、彩虹表的方式，這些太容易被發現。現在是MitM（Man-in-the middle）的方式，只要登入過的帳密就可以直接被提取出來。並利用竊取的帳號密碼，橫向擴散至其他設備，提取數據。」

事前的防禦靠情資，情資是惡意程序於其他單位發現後，調查出來的結果。但在這過程，我們可以發現APT攻擊事件處理是完全沒有情資的。孫維嶸描述，「黑客通常會放3~4支後門，事件處理時如果不知道那些設備有問題，要如何確保能找到它們。分析時，有把握找到那些後門嗎？鑒識時，可以找得到源頭嗎？如果沒有，也難保黑客下次用同樣的途徑進來。」

端點管理需要有四個關鍵：

看：

系統要能記錄惡意程序的行為，且灰色程序的也得收集，避免未知的惡意程序有所行動時，無法進行分析。

人：

需要有充足的人力及技術能量，可以將所有的告警都分析完畢，避免系統有發現異常，但單位沒有發現。

快：

能在未知惡意程序有所行為時，能立即行分析，不用再收集其他的數據，即可掌握一切狀況，避免有漏網之魚。

做：

能精準定位惡意程序位置，並且高效率進行清除，而非需要一台一台請人員到場進行處理，以降低單位損害