中華電信身為國家重要基礎設施提供者,處於第一線資安攻防戰略位置,不僅曾經經歷多次大規模駭客攻防,同時面臨企業資安治理、國內外法規嚴格要求,因此如何建構成一個安全堡壘,避免遭受全球駭客駭侵,打造「符合國際標準之最有價值、安全與可信賴的電信服務商」之資通安全願景,一直以來是該公司的重要挑戰。

面對上述的挑戰,中華電信持續研析資安風險與對應之防護戰略,鏈結國際資安標準,建立國家級資安組織聯防機制,提升整體資安防禦與應變能力,並透過自主研發的智慧資安監控中心 (CHT SOC) 超前部署各項安控與預警措施能於駭客攻擊前期,即時發掘隱藏惡意行為並獵殺可能威脅, 從源頭即落實「資通安全政策」及「隱私權保護政策」,依 PDCA 循環持續檢討修正並融入在日常營運活動中 。

中華電信資安處副總經理吳怡芳特別強調,「資安是中華電信營運的重中之重,沒有資安就沒有業務。」

中華電信的防禦之道!如何全方位掌握開源軟體套件安全性?

根據 IBM X-Force 2022 年度報告指出,在過去五年中,每年發現的漏洞數量都在逐步上升、創下新高,更不用說有心人士利用漏洞的工具也逐漸成長,而企業內部 IT 人員每年都會需要為此付出許多時間與成本執行軟體漏洞的修正更新。

吳怡芳表示,多年前公司在進行資安風險評估時即發現軟體及應用程式安全勢必將成為未來重要挑戰之一,在軟體安全範疇裡,漏洞管理是特別重要的一環。中華電信為了提升開發速度及因應現行開發模式,日常在開發新產品或新服務時,多會使用到開源軟體套件作為輔助。

然而,隨著使用頻率越來越高、散佈範圍越來越廣泛,在中華電信各個系統、設備、平台等都存在著各種不同的開源軟體套件,大幅增加漏洞管理的難度。

而一開始中華電信是採用人工管理的方式,每當有新漏洞被公佈時,就會由同仁盤查有哪些系統可能存在漏洞再加以修補,長期以來,不只沒有效率、耗時費力,也會增加即時修補漏洞的難度。

「中華電信長期以來使用很多開源軟體套件,如果不能即時掌握漏洞資訊並快速修補,對資安將會造成很大的衝擊。」吳怡芳語氣嚴肅地說。因此,中華電信依據開源軟體生命週期,從資產盤點、軟體選用、軟體檢測到軟體交付等,制定開源軟體管理規範,並納入本公司重要資安策略之一。

此外,積極尋找第三方工具,期望能有效系統化管理 Open Source,從判定 Open Source 有無安全問題開始到合規檢核、主動警吿及通知最新漏洞訊息等功能上,都能大力協助中華電信降低系統、軟體和 AP 的使用風險。

Log4j 的資安漏洞也能即時修補,大幅加值中華電信資安體質!

中華電信藉由 Mend 快速盤點資訊資產影響數量,大幅縮減零日攻擊時間差。圖片來源:科技報橘

在經過多方評估後,中華電信2018 決定導入由叡揚資訊獨家引進的 Open Source 檢測及管理平台 Mend(於 2022 年初由 WhiteSource 更名為 Mend),透過 Mend API 介接既有資訊資產管理系統,管理者將可清楚瞭解哪些資訊資產使用 Open Source、用了何種 Open Source 及其版本。

再透過日常的定期掃描,維繫並確保資訊資產所使用到 Open Source 安全性,一旦 Mend 掃描出系統所使用的 Open Source 存在安全性漏洞時,就會主動提出修補建議,讓管理者清楚應該升級到哪一個版本,才能修補漏洞,快速掌控 OSS 風險並降低維運成本,這與過往只能透過 GoogleOpen Source Community 論壇等傳統資訊搜尋查找 OpenSource 元件相關訊息、交叉彙整資訊的方式,在效率上可說是形成了天壤之別。

不僅如此,只要當重大漏洞被公開時,中華電信就可藉由 Mend 快速釐清目前資訊資產受到影響之數量並進行修補,大幅縮減零日攻擊的時間差。

舉例來說,在 2021 年底,存在於 Java 程式庫軟體套件 Log4j 的資安漏洞 Log4Shell 震撼全球企業,許多 IT 與資安人員皆哀嚎聲不斷,唯獨中華電信卻是少數例外。除了是公司已建置的安全防護機制發揮效用外,另一個原因即為在 Log4j 漏洞被公開時,中華電信便立即進入自行研發的資訊資產管理系統,並透過 Mend 找出受影響的資訊資產加以修補,才能達成「零傷害」的結果。

成為市場先驅領導者, Mend 如何為組織做好安全把關?

吳怡芳表示,當初選擇 Mend 的主要原因,除了 CP 值高、使用方便、容易管理外,更重要的是在品牌定位與功能兩個面向上,都符合中華電信的需求。

先就品牌定位來看,中華電信在導入第三方工具前,都會參考市場上的調查報告,找到位在右上角象限、代表「市場領導者」的品牌,再進一步評估:哪個品牌更貼近中華電信的組織文化或使用方式。

Mend 便是位於 Forrester 領導者象限的品牌,其檢測平台不但支援 200 種以上的程式語言、Open Source 元件更快速成長,自 2019 年僅 500 萬個,至 2022 年已成長累積逾 2.7 億個,可整合包含 Package Manager、版控工具、開發環境及 CI/CD Server 多種第三方工具。

再從功能面來看,藉由叡揚資訊完整的技術支援,讓 Mend 不只能做單獨的程式掃描,也能整合 CI/CD 流程來把關 DevOps 流程中 Open Source 的安全性及授權議題。

此外,叡揚資訊還協助提供系統介接 API 及撰寫 Agent 掃描程式以符合中華電信內部需求。在微服務時代,中華電信為了強化服務的穩定性、可用性、安全性,不僅及早就推行系統微服務化,更藉由 Mend 掃描 ImageContainer 等,為微服務的安全做好完整的把關。

叡揚資訊打造可信賴數位環境,提供企業多層防護力! 

叡揚資訊資安事業處資深經理李佳凌補充說明,叡揚資訊素來重視品質、承諾和服務,當初在與中華電信合作時,和專案負責人做了多次溝通,以充分瞭解中華電信的需求,才能提供相對應的服務,例如:API 如何介接、報表產出方式、系統掃描方式等等,同時針對掃描出來的弱點問題,也提供多次的教育訓練。

而中華電信也十分重視員工能夠藉由 Mend 良好管理 Open Source,為了讓內部同仁對 Open Source 弱點的處理及應對有相關基礎概念,還因此邀請超過百位員工參與訓練課程。另外,叡揚資訊也透過客戶服務平台,讓中華電信能針對後續發生的操作問題、弱點問題及授權議題持續發問,透過專職顧問團隊協助,一一克服許多問題。

圖說:由左至右為叡揚資訊資安事業處資深經理李佳凌、叡揚資訊資安事業處處長范家禎、中華電信資安處副總經理吳怡芳、叡揚資訊資安事業處經理劉駿傑。圖片來源:科技報橘

在透過導入 Mend 以快速發現與修補漏洞、提高漏洞管理效率之餘,中華電信自身也建立了漏洞情資預警系統,與不同單位交換並分享情資,全方位掌握最新的漏洞訊息。同時亦在內部推動安全軟體開發生命周期(Secure Software Development Life CycleSSDLC),在開發過程中就執行原始程式碼、開源軟體等安全檢測,全面強化軟體安全。

除此之外,資安防護最大的敵人還是回歸到人,中華電信除了強化資安技術之外,並積極培養內部程式開發人員的資安素養,在中華電信學院,除了一般基礎的資安認知教育訓練外,另有開設「安全程式碼撰寫基礎課程」及 Java.NET 等語言的安全程式碼進階課程,希望從軟體源頭安全開始管理,落實撰寫安全的程式碼。

完整資安防護網的關鍵因素:資安長為組織重中之重

根據金管會對於台灣百家上市櫃公司應設置資安專責單位之要求,足可證明資安之於企業營運的重要程度。資安長和資安團隊,不僅隨著經營者的決策與企業文化,而提升其權限和成熟度,當資安長能以業務和戰略為導向,將能有效抑止企業面臨多面向的資安風險。

近日《富比世》的文章亦揭示了勒索軟體攻擊、利用漏洞的駭客攻擊呈現上升趨勢, 82% 的資訊長認為其軟體供應鏈相當脆弱,容易受到針對性的攻擊,對於許多企業組織來說,毫無疑問需要增加更多安全預算以及人力,來保護組織的數據與資產。

吳怡芳也強調,對企業而言,設立資安長是一種企業落實資安治理的展現,確實盤點並瞭解公司的風險所在,再投入適切合宜的資源進行風險管控與處理,並且與時俱進強化各項縱身防護機制,持續改善建立一套符合企業組織文化,確保可落實量測的資安防護策略與管理制度,如此方能為公司業務創造新一波的成長契機。

置身數位轉型年代,無論企業規模大小或身處何種產業領域,資安都是必須正視的議題,無論是大型組織或是中小型企業,部署資安刻不容緩。而透過可信賴的第三方工具,絕對能有效地節省龐大的人力、硬體投資與企業的支出成本。

首圖來源:科技報橘