“落实”资安新法防护基准构面的关键5

然而，不是internet上所有加密流量都可以解开，Certificate Pinning与CAC Authentication无法解。陈志纬解释，典型的例子Certificate Pinning是application，如Twitter，Skype，Window更新之类，SSLi针对它们有一个预定义的列表，可以设定SSLi-Bypass。CAC Authentication则用于自然人凭证、网络银行数位签章，仅当特定的远程服务器（Specified remote server，SNI）请求CAC时，它才会绕过SSLi。

此外，某些地区的法规是要求不允许解开加密流量，以保障使用端机敏数据的隐私权，如HIPAA，PHI，PCI/DSS等。A10已经作好分类，网管人员只要拉进去，就可以直接使用设定bypass.陈志纬举例，“有公部门需求外对内提供Server Farm服务加解密，且内对外提供办公区User Area流量加解密，但要维持现有构架，并提供URL Filtering，且只要从一、二个部门开始作，渐进式流量导入，这些都是SSLi可以做到的。”

数位化文书流程已经被应用在许多行业，无纸化、高效率、省时的优势，庞大组织的签署，过程涵盖了内、外单位，上下不同层级，非常耗时。Adobe原厂委任技术顾问曹圣庚说：“与传统纸本内部签署工作比较，电子签署可以大幅缩短至1天半的时间就可以完成。”

曹圣庚解释电子签名与数位签名是不同的，其中的差别在于签名法律和法规要求内容。数位签名是大类别“电子签名”的子集。传统电子签名使用各种方式验证签署者，如电子邮件、企业ID或电话验证，但数位签名只使用一种特定方式－签署者会使用凭证是数位ID验证身份，而这个ID通常由可靠第三方凭证授权单位签发。

此外，曹圣庚提醒，数位签名系统也需考虑到文件系统及云端平台，尤其文件有上云需求的情况。“政府单位如果有使用Microsoft 365，One Drive，Teams…数位签署系统要能够与之整合，直接插件使用。”

资安新法之端点响应

资安新法里面提到被核定的A级和B级公务机关一年内，完成资安弱点通报机制导入作业；二年内完成端点侦测机制导入作业。就内文来说，“端点侦测与应变机制，指具备对端点进行主动式扫描侦测、漏洞防护、可疑程序或异常活动行为分析及相关威胁程度呈现功能之防护作业。”

中芯数据技术经理孙维嵘提醒，“这项目重点应该放在‘异常活动行为分析’，这牵扯两问题：一个是行为、一个是分析。”要先记录到数据，才看得到行为。分析由谁分析、分析的准确度，这都是资安新法的重大影响。他说，“如果没有搞清楚，不但加重资安人员的工作负担，更无法提高资安防护的能量。”

目前大家关注的勒索软件，孙维嵘也以日本电玩开发商卡普空为例，提出厘清：“真正的问题是勒索病毒还是黑客攻击？卡普空‘被盗走1TB数据’、‘黑客利用电脑合法工具PowerShell窃取帐号’，以合法工具掩饰非法攻击，这不是单纯的勒索病毒，而是黑客攻击行为。”剖析黑客攻击的重点有二：

黑客如何在单位内部找到重要的主机？他怎么知道哪一台？

黑客如何从中偷取真正重要的档案？他怎么知道档案在哪里？

孙维嵘点出，APT攻击炼的中间三步：放入后门、收集信息并提权、横向扩散，正是解决勒索攻击的重点。“当未知的恶意程序进来时，‘档不住’才是往往让单位损失最大的恶意行为。骇客入侵时会建立后门，并使恶意程序于每次开机皆能启动。放入后门后，有收集信息跟提权的动作，黑客透过工具窃取设备密码。不是暴力破解、彩虹表的方式，这些太容易被发现。现在是MitM（Man-in-the middle）的方式，只要登入过的帐密就可以直接被提取出来。并利用窃取的帐号密码，横向扩散至其他设备，提取数据。”

事前的防御靠情资，情资是恶意程序于其他单位发现后，调查出来的结果。但在这过程，我们可以发现APT攻击事件处理是完全没有情资的。孙维嵘描述，“黑客通常会放3~4支后门，事件处理时如果不知道那些设备有问题，要如何确保能找到它们。分析时，有把握找到那些后门吗？鉴识时，可以找得到源头吗？如果没有，也难保黑客下次用同样的途径进来。”

端点管理需要有四个关键：

看：

系统要能记录恶意程序的行为，且灰色程序的也得收集，避免未知的恶意程序有所行动时，无法进行分析。

人：

需要有充足的人力及技术能量，可以将所有的告警都分析完毕，避免系统有发现异常，但单位没有发现。

快：

能在未知恶意程序有所行为时，能立即行分析，不用再收集其他的数据，即可掌握一切状况，避免有漏网之鱼。

做：

能精准定位恶意程序位置，并且高效率进行清除，而非需要一台一台请人员到场进行处理，以降低单位损害