情資分享獲得肯定,期待快速深度內容
對於聯盟成員來說,情資分享是他們覺得最受用的服務項目,資安資訊多元且更新快速,對於民間企業來說,不一定會有專職的資安團隊能協助蒐集資訊,因此能固定分享情資是相當實用的資訊。
我覺得最直接是情資分享,在這都在做資安,沸沸揚揚才知道這件事,TWCERT/CC讓我們知道狀況,對我們來說滿實用,大家在哪個產業遇到哪些狀況。
除了持續提供情資分享外,聯盟成員也認為TWCERT/CC提供的資訊多、廣度夠,且在技術方面有把關,但後續也期待更能掌握時效性、並針對情資作進一步分析,以期達到預防效果外,也能作為教育訓練的題材。
所以他先用情資這一塊去延伸會比較好,比如他可以知道哪個domain被打比較多。他應該根據他累積的資料去做一些分析,針對這些弱點再去做教育訓練做一些分享。
另外也有利害關係人提到希望增加國內資安相關的資訊,有助於切合實際市場需求、也能提升國內資安危機意識。
比如說我們去TWCERT/CC網站看資安新聞,看到好像都是國外比較多,有些就會心存僥倖覺得國外跟我比較遠,如果有多點國內新聞會更好。
通報簡單便利,增加進度回報通知
即使聯盟成員不一定都有使用過通報服務,但通報過者認為通報方式便利簡單,但對於通報後的溝通則希望再加強,希望通報後可以獲得處理進度回報,而不是通報完成就結束這個服務。對通報者來說即使目前通報的事件還沒有處理完成,至少能讓通報者知道這個事件的受理狀況,建議未來在通報後增加主動告知進度或開放查詢等互動反饋方式,也能讓通報者未來更能掌握進度更增加通報意願。
通報過程經驗算簡單,他好像就是網頁上直接可以去填,或我通報他們軟體有問題發email跟他們講算簡單,但有時候需要特別去追一下。
培養主動通報意識,提供誘因募集通報情資
在通報服務的推廣上主要還是希望培養主動通報的意識,根據聯盟成員的經驗,民間企業的主動通報上有兩種情況,一是事情已經發生且無法處理的狀態之下,在需要協助的狀況下企業公司才會願意通報,二是把通報當作是一個紀錄留存,像是到警局備案方式,並不是真的需要協助。
因此未來在主動通報方面除了持續溝通通報服務的知曉度與通報單位的信賴度外,在未有事件發生時就能用協助檢測或提供諮詢服務來增加與企業互動,此外也強化通報處理的信任度,透明化通報流程並加入法律顧問角色,將通報設定為具有法律效力的報備流程,讓即使不需要協處的企業也必須完成通報。
有時候業者會來通報就是希望免費幫他做檢測或服務,需求通常是已經發生,或是接到消費者接到詐騙電話,另一種就是像警局備案這樣的,他就是留著報案紀錄,其實不需要協助。
除了民間企業的主動通報提升外,從第三方單位徵募通報漏洞也是一個方式,如聯盟業者就提到國外的作法,由TWCERT/CC提供通報獎勵資源,吸引第三方單位如白帽駭客蒐集資安漏洞跟TWCERT/CC分享。
像現在TWCERT/CC就是一個很好的媒介,他可以從國外蒐集到很好的情資,或是國內一些單位收集到讓人家幫忙找漏洞的情資,如果今天你報到國外可以收到一筆錢,但國內沒有,就是資安諮詢或技術資源。
活動與教育訓練反應佳,期待更多活動與案例分享
聯盟成員對於活動辦理與教育訓練都給於正面評價,原因包括內容實用、沒有商業色彩、講者安排佳、不需要費用等,一致希望未來能夠持續並增加場次辦理。
針對教育訓練不敢說建議,他們辦的不錯,請的講師也是業界知名,初步是滿肯定,希望可以持續辦。
對於內容的建議是希望結合產業實例分享的方式進行,因為技術層面的課程普遍性較高,坊間就有很多類似的講座,此外因為TWCERT/CC的中立角色,請企業來進行實例分享時的意願也比較高。然而要注意的是掌握分享的時效性,增加參考價值,也可以注意教育訓練的對象設定主題,在活動前先了解資安層級或技術能力,讓教育訓練效益最大化。
吸引我可能是實際案例分享,但他們好像是一年或半年一次,可能已經時效性過了,對於如何參考實際案例來預防資安事件的參考價值沒那麼大。
我覺得訓練分level分級,講者比較好準備,聽者也不會聽起來太困難,但因為他們現在課程也不多,所以做分級可能也有點奇怪。
善用第三方角色,增加產業交流互動
在未來發展的建議上,聯盟成員認為對民間企業有內外兩個方向可以進行,對外TWCERT/CC可以善用其第三方中立的角色,作為產業中的橋樑,讓產業彼此有機會分享經驗,增加互助合作或資訊流通,對內則是制定一個民間企業的資安準則作為參考,因為企業內部不一定知道資安危害或需求程度,通常由內部支援才能落實資安防護,若TWCERT/CC能以提供產業規範作為參考,除了有助於提升TWCERT/CC知曉度外,也能協助產業提升資安素養。
TWCERT/CC辦的活動把做資安的廠商拉在一起分享遇到的經驗,他扮演第三方角色可以做到這個。朝合作交流大家共同成長。