資安科技研究所(Cybersecurity Technology Institute,簡稱CSTI)為財團法人資訊工業策進會所屬的研發部門之一,長期專注於資通訊安全領域之政策規劃、推動及新技術研發等,均有重大成果。近幾年來,積極參與國際資安相關組織之合作與交流,以提升技術與專業水準,並提供資安相關之顧問輔導與技術服務,祈能協助各行各業強化資安防護能力,進而增進營運效率與競爭力。
部門定位
國家資通訊政策規劃與科技創新應用的推動者
資安核心技術研發與專業防護方案的領航員
國家資通安全防護的策劃與執行者
主要業務
研究前瞻資通訊國家政策,並協調推動執行
研發資安核心技術,帶動產業發展
提供資安服務,強化政府及民間資訊安全防護
提供軟體檢測服務,確保資訊系統品質
願景
成為具國際競爭力的資安技術與服務專業機構,堅實國家資通訊安全防護能力。
服務理念
以客為尊、以人才為本、以專業為要、以維護客戶利益為前提
資安檢測實驗室
本實驗室為全國認證基金會(TAF)認可實驗室,專精於物聯網終端設備資安滲透測試,無論是前瞻科技的無人飛機,抑或是圍繞大眾生活娛樂的網路攝影機,從軟硬體發掘潛在漏洞與風險、評估設備資安品質,以協助產品達到安全保障(security assurance) 的目的。
此外,本實驗室持續耕耘國際資安標準合規性評估能量,提供NIST SP 800-115資安檢測基準方法,及IEC 62443工控設備資安等國際標準符合性檢測,可降低廠商產品國外送測成本,同時加值廠商產品、提升外銷競爭力。
資安檢測鑑識實驗室
隨著現今犯罪型態不斷轉變,數位證據的普及率也隨之增高,值得注意的是,這些證據的完整性和保存性容易遭到無心或刻意的覆蓋、刪除與格式化,因此將這些遭到破壞的數位證據加以復原重現也是現今十分重要的課題。
因此在鑑識領域中的資訊重現便是強調讓檔案格式可以被相對應的工具找到及讀取,被辨識與瞭解的內容獲得有效的數位證據。
本實驗室採用ISO/IEC 27037國際標準數位證據處理程序,制定完善的鑑識框架與程序,強化鑑識能量與鑑識成效,提升鑑識報告證據力,並預計在五月通過全國認證基金會(TAF)的認證,成為認可實驗室。
SecBuzzer雲端資安情資服務平台SecBuzzer是一個蒐集與分析國際資安情資的服務平台,所蒐集的情資類型涵蓋資安漏洞修補建議公告、社群媒體(Twitter)、資安威脅新聞與重大警訊公告(如CERT)、誘捕系統惡意程式交換樣本、暗網情資(如漏洞攻擊程式碼)等來源。SecBuzzer將不同來源的威脅資訊以系統化的方式收集、整理、進階分析關聯,提供的特色情資包含:熱門威脅事件、威脅情資中心、威脅情資服務,與資安技術文章。其中「熱門威脅事件」透過關注資安領域專家社群討論議題,智慧化偵測熱門威脅事件關鍵詞,即時掌握全球資安威脅動態。「威脅情資中心」提供使用者彈性查找威脅情資,涵蓋了資安威脅新聞、資安漏洞整合報告,以及社群媒體聲量趨勢。「威脅情資服務」提使用者以API的方式,透過介面直接使用檔案掃描服務,或是透過Open API查找SecBuzzer所提供的威脅情資。
SecBuzzer透過導入機器學習、文字探勘與深度學習技術,以資安即服務(Security-as-a-Service)模式提供共享使用,具備節省成本、快速建置、及彈性應用等優點,可協助及提供我國資安廠商情資分享、弱點檢測、惡意程式掃瞄及監控分析等服務。
為落實雲端環境的安全管理,導入符合ISO國際標準的雲端服務資訊安全與個人資料保護管理制度,SecBuzzer於2018年12月通過獨立驗證機構BSI專業審視,同時獲得ISO 27001:2013、ISO 27017:2015、和ISO 27018:2014三項國際資安標準認證,成為台灣第一個通過ISO三項雲端資安與個資保護認證的資安服務平台。
DarkSirius
DarkSirius是一套以人工智慧驅動的日誌分析與監控系統。其目的是在輔助並強化現行的資安設備與軟體,其主要功用如下:
• 處理巨量異質資訊
企業環境內擁有巨量異質的日誌與流量資料,導致需耗費大量人力來處理,並且有遺漏重要資訊之疑慮。透過DarkSirius處理分析大量日誌與流量資料,萃取出重要事件與訊息,讓資安人員可專注在後續的事件處理與分析工作,有效節省資安人員處理資料時間,並提升事件處理的效率與品質。
• 分析使用者異常行為
外部的攻擊行為可以依靠資安設備阻擋,但如攻擊者取得合法權限時,資安設備便難以判別行為的合理性。DarkSirius專注於使用者行為異常分析,透過細微的行為差異分析,據此掌握潛伏的威脅,提供資安人員不同視角的分析結果。
• 偵測主機間異常關聯
目前的新興攻擊型態會潛伏在企業內網內,以耗時低頻的方式進行攻擊,較難以過去的防禦方式偵測。DarkSirius分析主機、檔案與應用程序間的關聯行為,找出異常關聯,描繪出惡意程式的擴散路徑,供資安人員做為事件處理的參考與防護的依據。
ICTD工控系統威脅入侵偵測技術
工控系統威脅入侵偵測技術 (Industrial Cyber Threat Detector, ICTD) 為一工業控制網路之多層次入侵偵測系統,在一般工業操作技術(OT)網路中側聽分析通訊封包,深度檢查剖析各層封包,自動學習建立正常操控與網路行為模型,以產生駭客入侵異常行為威脅之偵測規則,可有效察覺潛伏在OT網路之攻擊事件。
• 深度封包分析:從OSI網路標準第二層到第七層進行全方位深度封包分析。
• 標準協定分析能力:可分析超過11種工業 (如Modbus/TCP, OPC/UA, …),以及超過38種網際網路服務協定 (如HTTP, FTP, SSH, Telnet, SSH, Telnet…) 持續擴增中。
• 工業操作技術(OT)網路入侵偵測系統 (intrusion detection system, IDS):Sniffs & Extracts IIoT網路封包,訓練建立機器對機器間網路服務行為基準,產生異常偵測規則,然後即時對每筆網路封包進行異常入侵行為之偵測。其具備非侵入型安裝、免疫式行為學習、以及全自動化部署功能。
• 工業操作技術(OT)工控網路滲透攻擊測試能力:多類攻擊手法共35支滲透測試程式,涵蓋偵查、命令注入、偽冒回應、中間人及癱瘓服務等ICS滲透攻擊測試項目。
• DCS/SCADA/PLC Cybersecurity Test Bed。
自動化檢測工具
針對物聯網檢測與區塊鏈等新興檢測需求,資安所以自動化檢測工具研發,滿足業界於物聯網終端設備與雲端網路服務檢測之需求,透過AI機器學習、模糊測試、Binary逆向分析等創新技術導入,建立App,韌體,網路協定,容器虛擬化及區塊鏈等多款資安自動化檢測技術,填補技術缺口,達到取代進口之目標。
資安人才培訓
考量資安技術發展趨勢與領域發展特性,參考國際資安培訓組織課程架構,設計資安人才學習地圖,培育產業人才具有滲透測試、事件處理、網路監控等基本技能,同時擬定重要產業發展進階學習課程。
資安檢測實驗室
1. 資安檢測服務
本實驗室針對物聯網設備提供以下資安檢測服務:
• 源碼檢測:針對產品之程式原始碼執行已知弱點掃描,協助廠商於產品開發階段即可滿足安全設計 (Secure Coding) 之需求。
• 弱點掃描:針對產品之系統與網路服務執行已知弱點掃描,並提供修補建議,協助廠商在產品出廠前,改善已知明顯漏洞。
• 滲透測試:以駭客思維從資料安全、應用程式安全、系統安全、身分認證與授權、通訊安全、實體安全及隱私保護共7個面向,找出可能潛藏在各個資安面向之漏洞。
• 模糊測試:對於目標設備所使用的網路協定,利用資安所自行開發的變異技術,生成數百萬種變異封包發送到受測目標,用以檢驗產品之通訊軟體程式是否存在未知資安漏洞。
2. 標準制定
本實驗室以豐富的物聯網裝置滲透經驗,提供技術支援與完整專家群,支持領先全球之影像監控系統資安標準的制度,並由經濟部部長宣佈以此標準作為啟動國內物聯網資安標準之開端,曾參與制定過之標準列表如下:
• TAICS TS 0014 Series影像監控系統系列資安標準
• TAICS TS 0015 Series影像監控系統系列資安測試規範
• TAICS TS-0020 Series智慧巴士資通訊系統系列資安標準
• TAICS TS-0021 Series智慧巴士資通訊系統系列資安測試規範
• NCC行動寬頻基站資安檢測規範
• NCC遙控無人機資安檢測規範
• NCC電腦無線輸入裝置資安檢測規範
3. DeviceGuard
「連網裝置資安偵防模組」提供連網功能的端點裝置,具備自我資安防護能力,提供未經裝置擁有者授權的程式將會被阻止其執行,遭竄改的應用程式將會被鎖定,即時監控裝置需保護的關鍵檔案(如:組態設定檔等),並給與相應的存取管控,以及異常警示發送、防護日誌的回傳,有效阻絕駭客控制連網裝置之攻擊。
• 防止未授權程序啟動:利用白名單機制控管程序的啟動權限,避免遭植入惡意程式的攻擊。
• 防止遭竄改程序啟動:模組一旦察覺到遭受竄改之程序執行,將阻絕以防止遭惡意軟體攻擊。
• 關鍵檔案存取監控與管控:監控重要檔案的存取,並給與適當的讀寫防護。
• 警示與記錄:異常事件警示,及異常紀錄回傳。
資安檢測鑑識實驗室
SecBuzzer雲端資安情資服務平台
SecBuzzer導入機器學習、文字探勘與深度學習技術,以資安即服務(Security-as-a-Service)模式提供共享使用,具備節省成本、快速建置、及彈性應用等優點,可協助及提供我國資安廠商情資分享、弱點檢測、惡意程式掃瞄及監控分析等服務。SecBuzzer整合暗網情資,進階歸納領域別弱點,透過與業界合作,針對不同個案彈性提供所需情資,提升企業組織之資安威脅感知能力,加值資安服務業之資安產品,進一步提升廠商的國際競爭力。詳細服務說明如下圖所示:
圖、SecBuzzer服務
SecBuzzer已與國內資安及資服業者合作,切入新興物聯網資安應用,包括醫療領域資安威脅情資、智慧城市資安聯防、及公部門資安應用等。應用案例:
• 與數聯資安合作建立衛福部資安資訊分享與分析中心(H-ISAC)資安資訊分享機制,達成早期預警、持續監控、緊急防禦目的
• 加值新北市政府強化基層資安防護暨區域聯防系統,自動介接資安威脅情資
技術移轉電信技術中心(Telecom Technology Center, TTC),導入開源資安威脅情資蒐集管理技術、資安社群熱門議題偵測,以及情資正規化與關聯技術,支援領域別威脅情資蒐集、查詢與分享
DarkSirius
DarkSirius是一套以人工智慧驅動的日誌分析與監控系統,易於客製化或與第三方系統整合介接,可透過自行研發或是其他廠商之日誌管理設備進行日誌收容、支援多數常見的日誌檔案進行不同面向之分析。分析結果可輸出到各類SIEM作資料整合,並透過視覺化呈現提高資料的易讀性。此外,DarkSirius透過使用者行為分析(UEBA)的方式,可找出潛伏在企業內網、並以各種方式規避現行偵測方法的異常行為或程式。透過不同AI模組串接,更可支援日誌管理、惡意程式防護、入侵威脅偵測等各種需求。本系統主要實證成果如下:
• 利用企業AD日誌進行帳號使用行為分析,針對三個場域進行測試,從總數超過5000個帳號內偵測出約50多個未被一般資安設備偵測出之疑似異常帳號,協助管理人員即時預防威脅事件發生。
• 本系統目前作為某資安聯防系統的第二層防禦機制,分析來自不同之一線SOC派送的事件資料,DarkSirius可透過比對事件日誌與分析情資,找出跨機關或部門間未被發現之威脅,阻止災情的擴散及提前防範應對。
• DarkSirius亦為多源異質資料整合分析系統,可將不同來源之情資整合為單一格式並進行資安分析,並可根據派送之機構、設備之不同,轉換為相對應之資料格式,達到威脅情資交換的目的。
• DarkSirius除可作為資安完整解決方案外,亦可將個別分析功能模組化,根據廠商的產品定位與需求,整合分析模組來加值廠商的產品。
ICTD工控系統威脅入侵偵測技術
1. 工控IDS產品 (3道防禦陣線)
• ARP Spoofing Detection:偵測駭客偽冒IP進行中間人介入操控之攻擊。
• 整合Snort Rules & IDS:偵測違反正常操控與存取原則之異常行為。
• OT State Based Abnormal Detection:學習並建立正常之OT操控與數據行為狀態,藉以偵測非預期狀態之異常事件。
˙橫跨OSI網路層2-7層封包進行全方位分析判斷異常。
2. Cybersecurity Test Bed
• 2項工控運轉程序,水處理水位控制及空汙自動排氣
• SCADA HMI & PLC架構
• Modbus/Tcp、OPC/UA協定
3. 工控網路滲透攻擊測試案例
• 多個類別超過35支滲透攻擊測試案例
4. ICS Cybersecurity 訓練課程
自動化檢測工具
1. 物聯網資安(終端設備)
• 行動App資安檢測, CMAS
協助APP上架發佈前,進行資安檢測,檢測潛藏資安風險,滿足OWASP及工業局APP資安規範要求。
• 支援Android & iOS 之APP
• 雲端服務平台,全自動容易使用
• 效率高,3分鐘/APP
行動App資安檢測系統CMAS,提供OWASP及App資安規範自動化檢測
詳細的檢測報表,依測項指出資安測試結果,做為App資安稽核及檢驗依據
• 聯網設備韌體資安檢測, UFO
協助聯網韌體自動化資安檢測,以靜態分析評估IoT韌體資安威脅,檢測CVE漏洞、密碼外洩及可疑後門腳本等嚴重問題。
• 韌體拆解成功率優於binwalk,fmk等知名工具
• 獨家檢測演算法,檢知隱藏後門漏洞威脅,滿足工業局IP CAM資安規範要求
UFO提供物聯網設備韌體自動化檢測,檢測CVE漏洞、密碼外洩及可疑後門腳本等資安問題
2. 物聯網資安(雲端網路)
• 網路資安模糊測試, AIFuzzer
以機器學習自動分析物聯網封包協定,據此建立模糊測資,快速挖掘物聯網系統潛在錯誤與異常狀況,技術特色如下:
• 無需專家規則自動規劃模糊測試,支援機器學習與8種以上變異模式
• 自動產生10萬筆以上測資,符合產業檢測規範要求
• 提供Modbus, MQTT, DLMS/COSEM等物聯網協定測試
物聯網網路資安模糊測試技術,以AI方法自動化建立網路協定測資,支援Modbus, MQTT, DLMS/COSEM等物聯網協定資安模糊測試
• 容器資安監控平台, KubAnomaly
利用機器學習技術偵測雲端容器軟體運行中的異常行為,並通報管理人員容器軟體遭受攻擊,產品功能如下:
• 容器映像檔資安檢測
• 容器系統活動即時監控
• 資安威脅即時防禦機制
• 圖形化監控管理介面
KubAnomaly提供雲端容器環境資安檢測及異常監控,即時發覺駭客攻擊事件,降低容器應用系統資安威脅
3. 區塊鏈資安
• 智能合約資安檢測, SoliAudit
無需專家建立特徵碼,提供弱點掃描(VA)與模糊測試(Fuzzer),支援國際智能合約資安漏洞DASP Top10檢測。
• 智能合約Solidity程式碼,以Opcode特徵進行機器學習靜態分類,弱點辨識率達9成
• 自動產生攻擊測試合約動態執行模糊測試,搭配異常分析,成功偵測破解實際與CTF案例
SoliAudit創新提供智能合約資安Top10威脅檢測,檢出潛藏漏洞,確保智能合約上線安全
• 區塊鏈攻防模擬測試, SimChain
應用SDN虛擬網路建構區塊鏈模擬場域,制定評量指標,協助區塊鏈系統評量駭客攻擊(如自私礦工攻擊)的耐受程度。
• 腳本腳本定義網路行為,達到區塊鏈攻擊(Selfish Miner, Partition Attack)情境模擬
• 實證乙太坊自私礦工攻擊場景與防禦策略(如ZeroBlock技術)佈建
SimChain透過模擬方式,演練區塊鏈攻擊與防禦情境,評量區塊鏈應用平台之資安品質
資安人才培訓
1. 依據產業培訓需求,培訓資安從業人員,提升產業資安人員專業技能。
2. 了解不同產業領域之資安人才需求,建立資安人才暨師資資料庫,作為後續課程推廣。
3. 引進國際工控與資安專業課程,提升國內工控資安人員專業職能,建構更全面且國際面向之資安防護視野。
