當 Zero-Day 與情資斷層同時發生,如何在資訊不完整下做出決策?
文/財團法人台灣資訊科技發展教育基金會董事許凱平
身為資安防禦端的一員,每當聽聞資安事件發生,內心難免感到不安,尤其是發生在同業或臺灣本地的案例。我們最關心的,其實是攻擊者如何入侵,以及受害單位如何被攻陷;然而,公開揭露的資訊往往僅止於「已報案」、「已委由資安公司處理」、「無資料外洩」、「對營運無重大影響」等制式說明,對於實際強化防禦的幫助有限。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
自然界中,植物在遭受害蟲侵襲時,尚且會釋放訊號提醒周遭同類提高警覺,更何況是人類社會。以去年 CrazyHunter 事件為例,在衛福部處長李建璋的帶領下,長庚醫院與彰化基督教醫院等機構即時分享入侵指標(IOC),讓其他醫療院所能及早因應;同時,微軟亦提供為期三個月的授權支援作為緊急應變,TeamT5、Trend Micro 等資安廠商也發布了完整且具參考價值的調查分析報告。相較之下,醫療領域以外的資安事件,則鮮少見到如此即時且具體的資訊分享機制。
以近期物流遭駭事件為例,可先從 Ransomware Live 網站的新聞快訊取得相關資訊:
進一步追查快訊來源,可發現其引用自德國資安觀察者 Günter Born 經營的技術部落格:
文中提到:
- 新竹物流遭受嚴重網路攻擊,突顯關鍵基礎設施的脆弱性
- 多個 Zero-Day 漏洞(涉及 Microsoft Defender 與 Fortinet)正被積極利用
- 包含 CVE-2026-33825(已修補)與 FortiSandbox CVE-2026-39808 等漏洞
- 部分漏洞(如 RedSun、UnDefend)具備權限提升或阻擋安全更新能力
- Exploit 與 PoC 的公開進一步加速攻擊擴散
由於原文為德文,初期僅能依關鍵字判讀,實務上也只能針對文中提及之 CVE 優先進行修補,並同步對內部進行風險提醒。事後檢視翻譯內容後可發現,作者並未明確指出漏洞與本次攻擊事件之間的直接因果關係,兩者可能僅為時間上的重疊,亦不排除基於保護消息來源而刻意保留。
從防禦端角度來看,負責調查資安事件的資安公司,應有義務在第一時間將觀察到的入侵指標(IOC)提交相關主管機關審閱並儘速對外發布。例如衛福部 HISAC 在此方面即具備良好示範,除提供 IOC 外,亦能隨情勢變化提供具體應變指引。
以下相關情報來源提供參考:
- 勒索軟體情報 RANSOMWARE.LIVE
- 勒索軟體情報 ransomfeed
- LeakIX 外洩資料監測
- 台灣漏洞揭露平台 (TVN)
- HITCON ZeroDay 漏洞平台
- 中國國家信息安全漏洞共享平台 CNVD
- 網站即時分析 urlscan.io
- 資訊竊取惡意程式情報 Hudson Rock
(本文授權非營利轉載,請註明出處:CIO Taiwan)
