为了提升台湾民间企业的资安能力，不仅依赖个资法对全体企业的规范，以及金管会对上市柜公司提出的各项要求，政府在协助企业提升资安能力方面，台湾电脑网络危机处理暨协调中心（TWCERT/CC）扮演着重要角色。

随着2024年元旦资通安全研究院（资安院）接手TWCERT/CC，各界都关心他们后续如何进一步协助民间企业。4月他们公布发展计划，预告将持续推广共同参与，拉拢更多企业加入TWCERT/CC免费会员，时隔超过半年的此刻，资安院在2024台湾资安通报应变年会，揭露目前最新相关进展。

其中TWCERT/CC会员数的增长是焦点之一，目前已有1,699家民间企业加入，相较于今年年初的1,260家，数量增加449名会员，比例已成长35％。

关于深化情资分享的具体做法，TWCERT/CC最近更是有了全新的策略，强调将以情资为主的沟通，扭转大家对于通报的刻板印象。特别的是，他们还阐释了4大情资类别，涵盖活动预警、骇侵事件、漏洞情资与IoC，希望外界可以更能明白情资内容与应用，同时也公布了成功开发电邮陷阱机制，以及与Shadowserver基金会合作等进展。

将逐步以情资为沟通基础，而非以事件通报角度来沟通，以利情资驱动的资安联防

资安院院长何全德强调，资安问题已不再是单一国家、企业或组织可以独自有效解决，在资安院接手TWCERT/CC后，希望将过去技服中心的经验，也能有效用于服务广大的台湾民间企业。

关于TWCERT/CC的发展现况，由资安院通报应变中心主任孙伟哲上场说明。由于该场议程的TLP情资分级为「绿灯」，仅限领域内部人员使用，因此我们会后征询孙伟哲同意，揭露当中可公开的重点。

他首先强调，TWCERT/CC为促进资安情资分享，将以「情资」取代「通报」的概念，这是其未来服务方向的一项全新转变。

为何会有这样的改变？主要原因是，在过去一年推广情资分享的过程中，他们发现民间企业较不愿以通报角度来分享信息，认为通报是严谨且繁琐的进程，这也导致降低了参与意愿。此外，企业也常误解分享情资时需提供过于详尽的内容。

因此，TWCERT/CC希望以「情资」为沟通基础，帮助企业理解其在联防合作中的重要性。孙伟哲解释，情资分享的重点并非提供事件的全貌，主要聚焦于：遇到何种类型攻击、可能攻击标的、入侵指针（IoC）、攻击手法等。

换言之，情资分享并不是分享多少电脑服务器受害，是否数据外泄等，这些内容对第一线联防并无价值，无法帮助其他单位的联防准备。

因此孙伟哲指出，TWCERT/CC将逐步以情资为沟通基础，而非以事件通报为角度来进行沟通，这是后续推动上的调整重点。

至于具体有哪些调整？对此，我们首先联想到，这应该是指TWCERT/CC网站的服务页面上，可以找到「一般资安通报」的在线服务。孙伟哲的回应是：未来TWCERT/CC的对外服务网站确实将进行全面改版，会以情资的角度，让民众与企业协助提供相应的信息，以帮助提升联防的成效。

综观此一变化，我们认为，过去TWCERT/CC为了帮助企业遭遇资安事件的应处，提供事件通报的管道，随着2023年他们发布企业资安事件应变处理指南，如今他们显然更强调在联防与情资交流。

提供会员4大情资类别，中小企业受益最大

在以情资驱动的联防上，TWCERT/CC会员究竟可获得哪些具体内容？孙伟哲表示，主要有4大情资类型，分别是：活动预警、骇侵事件、漏洞情资，以及入侵指针。

而我们也好奇，这4大情资类型是否今年才开始画分？他表示，过去TWCERT/CC就会将情资提供给会员，如今资安院接手维运的新作法就是，依照过往经验将情资类别明确化，希望让会员可以较能明白情资内容与应用，例如：

（一）活动预警情资
TWCERT/CC将研析外部提供的企业攻击事件情资，从中发现共通性、浅在攻击活动，提醒相关企业及早防范。他举例，当发现一个针对特定领域的攻击，虽然该企业可能不是正在被攻击的对象，但接获情资、知道风险可能上升时，就能预先做准备。当然，这也仰赖情资的价值程度，才能让防范上更有针对性。

（二）骇侵事件情资
会根据外部或自主发现的攻击事件情资，将相关信息经分析后提供遭骇企业应处。例如TWCERT/CC在暗网、地下论坛发现有一家公司数据被贩卖，一旦发现这样的情资后，他们就会协助通知该公司。

基本上，这应该是企业应该主动监控的范畴，但为了帮助更多缺乏资源的中小企业，因此TWCERT将协助通知，避免国内企业未能掌握此状况。至于外泄数据是否为攻击者设置的烟雾弹，或企业是否真正受害，仍需要收到情资的企业自行判断与调查。

（三）漏洞情资
不论是已知漏洞未修补，或是零时差漏洞的问题，由于近年黑客经常利用漏洞作为攻击起始点的态势，因此企业必须有所掌握。当然，所有漏洞修补其实都有其重要性，不过，TWCERT/CC会更着重在高风险漏洞层面的分享，因为这些漏洞威胁更具急迫性。

因此，他们每星期会参考美国CISA公布的已知漏洞利用清单，并汇整新遭利用的漏洞，同时也会统整出相对影响较高的漏洞，以及CVSS风险评分较高的漏洞，供广泛的TWCERT/CC会员可以检查，是否有受影响的设备，以及是否已经安排更新修补。

（四）入侵指针情资
基本上，IoC入侵指针的全名是Indicators of Compromise，主要是用于辨识恶意活动或安全事件的具体证据或迹象，包含IP地址、网域名称（DN）、恶意文件的HASH值，可以帮助资安团队快速识别威胁。

孙伟哲表示，如果不知道面对特定威胁该如何防护，也可以把这些情资部署于防护设备、设为黑名单。这对于普遍资源不充沛的中小企业而言，至少能有防护行动的开始。

开发电邮陷阱机制，与Shadowserver合作，未来还将提升情资自研能量

之所以有上述4大情资类别能够交流分享、促进联防，背后其实也仰赖多方威胁侦测的搜集，才能产出这些预警情资。

因此，TWCERT/CC日后也希望，有些情资可以是由自身研究来发现，进一步提升情搜预警能力，而不像过去这方面的业务型态，全是仰赖从外部收到的情资，或是购买而来的情资。

之所以有此改变，是因为过去计服中心在协助公务机关时，本身就会自己研究取得情资，因此资安院如今也希望将这样的能量也用在民间企业，这会是未来一个重要发展方向。

在促进情资交流上，现在TWCERT/CC也采取更积极的态度，像是针对发布资安重讯的上市柜公司，他们会主动联系这些公司，询问是否能协助提供IoC以利联防。而且，目前也确实有企业愿意分享这些入侵指针。

在国内资安事件分析上，孙伟哲也揭露几项统计数据，我们特别关注以下几点，例如：在国内资安事件分析上，以今年2024年（至10月底为止）而言，勒索攻击事件比例最高，占所有事件的44.68%；在CVE漏洞审查方面，今年TWCERT/CC已公告130个CVE漏洞，当中多属高风险漏洞；在恶意文件检测服务VirusCheck上，TWCERT/CC收到1,645笔可疑文件需要检测，以民间企业使用率最高，共发现44个恶意程序、12个IP位址与16个网域名称。

在国际情资分享上，今年TWCERT/CC已接获1,660件国际资安情资，当中以恶意程序相关情报占45.84%，比例最高。

特别的是，他们也提到与国际组织Shadowserver基金会合作，共同研析国内产品资安漏洞，希望进一步提升台湾资安产品在国际市场的可信度。

而在技术创新方面，TWCERT/CC也成功开发了一项自主电邮陷阱机制，专注于捕捉针对电子邮件的威胁行为，希望借由发展更多威胁信息来源，持续扩展自身的情搜预警能力。