ithome
【从“PTT护国神文”学防骇】要能及早掌握情资，才有机会超前部署与即时应变
文/罗正汉 | 2020-07-21发表
武汉肺炎全球大流行，台湾能在世界各国对疫情都还没反应过来时，先行提高警觉，关键
就是情资的掌握与判读，而获得全台民众关注的，自然就是被誉为PTT护国神文的一篇文
章。
在2019年12月31日凌晨两点多，一篇八卦版的文章吸引不少人注意，这是PTT乡民“
nomorepipe”发布，标题为：“〔问卦〕武汉疑爆发非典型肺炎冠状病毒群聚感染？”
引发热烈讨论的原因，当中提及出现类SARS个案，发文者不仅找出中国官方的公告，透露
有不明原因肺炎群聚感染，并附上李文亮医师在即时通讯对话的截图，以及检验报告等内
容。有网友就在半夜留言表示，“想到和平医院”，甚至有网友预告“照理中共会封锁消
息，然后病情失控传到国外”。
当然，更关键的是，这样的资讯被台湾的防疫专业人员注意到，并且研判相当重要。包括
疾管署的防疫医师，以及时任疾病管制署副署长罗一钧，刚好在凌晨浏览这样的资讯，他
并在完成初步查证后转发到署内群组，这才有了后续持续关注与启动紧急应变。
例如，疾病管制署在去年12月31日，曾寄信通知世界卫生组织WHO；在今年1月7日，将武
汉市国际旅游疫情建议等级列为第一级；后续又因泰国、日本、韩国等邻近国家接连出现
自武汉移入的确诊个案，研判中国大陆疫情已有明显社区传播及疫情扩大情形。于是，疾
病管制署在1月20宣布，成立“严重特殊传染性肺炎中央流行疫情指挥中心”，以及推出
各式防疫应变计画。
防疫情资就是及早应变重要关键，企业同样不可等闲视之
在这次台湾的防疫经验中，情资重不重要？答案很肯定，否则我们的防疫工作可能就无法
如此顺利，反观其他国家，等到他们出现大量本土感染案例，才开始因应，结果就是，他
们必须付出更大的代价。
情资的重要性，体现于很多领域，如同电脑游戏上的LOL插眼（英雄联盟一种拓展视野的
技巧），在资安领域也是如此。这次我们询问不少资安专家，他们也提出观察与意见，希
望让企业能够更重视情资的重要性。
例如，TeamT5杜浦数位安全执行长蔡松廷举出一例，那就是2017年5月爆发的勒索蠕虫
WannaCry事件，这个勒索病毒在短短一个周末的时间，就让全球数十万台电脑被攻击，而
它的主要的入侵方式，是透过SMB 1.0（SMBv1）的漏洞主动扩散。
不过，WannaCry所利用的漏洞，其实微软在两个月前，也就在3月14日就已发布资讯安全
公告MS17-010，当中提及相关的漏洞，并且同步发布了修补程式。
同样的道理，对于能够及早修补的企业与用户来说，能够掌握这类关于漏洞的资安讯息情
资，就能够先做出因应。
虽然，从现实面来看，企业总是后知后觉的状况居多，不过，早一步得知刚发生的攻击活
动的情资，了解恶意程式攻击途径与管道，因此，在受到攻击之前，其实还是有很多机会
，我们可以超前部署、尽早因应与加快应对。最害怕的是，企业一直都不知不觉。
但这也不由得让我们反思，以IT领域而言，对于这类漏洞资讯的基本资安情资，虽然有些
企业都会重视，但还是有不少情况，例如，明明是高风险或严重等级的漏洞，系统设备业
者已经发布修补更新，发现漏洞的资安研究人员在此后也对外揭露，却有部分企业仍然不
知道要修补，而且这是上市大企业都存在的状况。
显然，部分企业对于这些资讯的掌握，并不到位，使得后续又有资安业者或是CERT组织发
出警示，指出已侦测到攻击活动，或是传出Exploit（攻击程式）已经出现；又或是有通
报者在漏洞通报平台，通报企业存在设备漏洞未修补的状况。
PTT护国神文的出现，引起政府的关切，之后也启动一连串确认及应变措施，这当中，更
重要的一个关键，大家可能容易忽略的是，那就是对于情资判读的重要性。
及早拿到情资之余，要能正确判读更重要
根据罗一钧在4月16日每日记者会上的说明，当时他看到这篇后来被称为PTT护国神文的内
容，注意到一般爆料不同的状况，包括提到华南海鲜市场有确诊7例SARS，引发关注，而
他也追查截图中的原始检验报告，了解可能是致病性高的病原体，并从照片概况研判是当
地医疗人员内部讨论群组流出，具有某种可信度，加上追查外流讯息时，发现有医护互相
提醒的状况，担心院内医护人员相互感染，因此，他赶紧将这样的讯息提供到卫生署内的
Line群组，才有后续的防疫动作。当然，也是因为有过SARS的经历，才更能够将这些情资
串在一起。
这样的过程看似简单，但戴夫寇尔执行长兼共同创办人翁浩正提醒的是，在资安领域，情
资的复杂性更高。例如，对于高传染性生物，我们通常要知道的是什么病毒、细菌，以及
传染方式与症状，但在资安上，除了掌握恶意程式、勒索病毒，要能知道它的攻击行为与
途径，但也有更复杂的，像是针对骇客组织的情资又不同，需要掌握攻击者是谁，采取的
攻击战术流程（Tactics、Techniques与Procedures，TTP），而这类情资的价值也比较高
。
这主要也是跟威胁的属性差异有关。同是看不见的病毒，但防疫面对的病毒、细菌多半是
自然演变而来，资安防骇面对的威胁则都是人为制造，因此很难用一成不变的方式去防御
。而一般资安圈所谈的威胁情资，大多也都更聚焦在APT防护。
对于已经重视情资的企业或组织而言，下一步该注意的挑战又是什么？
要像这次防疫经验，能够如此快速判读威胁态势，资安情资管理就是不可或缺的一环。要
知道的是，关于前述的漏洞资讯，只能算是一种基本的资安资讯，还有像是网页攻击情资
、入侵攻击情资（垃圾邮件、中继站、僵尸电脑、C&C等），还有更高层面的威胁情资，
将会涵盖到攻击者身分，采取的攻击战术流程（TTP），以及相关攻击事件，不同产业属
性等。
这次我们访问的不少资安专家，其实都提到了情资判读与分析的重要姓。对此，勤业众信
风险咨询服务执行副总经理林彦良表示，企业必须重视威胁情资的管理，像是PTT八卦版
上的噪声很多，当防疫人员看到时，也要有够多资讯能够关连、串在一起。
其实，大家多半都能了解情资的重要性，但有些情资，是会引发注意但无法做出关连，又
或者是，能注意、关连，却不一定知道该如何处理，这是企业在关注情资时，也要能注意
的面向。
不仅是资安情资，对于资安新闻与事件也是如此，不论当事人或旁观者，有些人看到这些
资讯会有感觉，但有人看到同样的资讯却没感觉，这就会影响后续使否采取行动的速度。
像是有国际骇客锁定全球金融业，瞄准国际汇款系统SWIFT，当其他国家银行遇害，台湾
金融业是否能够及早吸取相关情资与经验。
由于威胁情资面向涵盖非常广，对此，勤业众信风险资讯服务协理陈威棋指出，这是管理
的议题，因为情资也有分等级，还要能识别情资的重要性，一开始就要知道企业有哪些风
险，才能进一步知道要蒐集那些威胁情资。对此，林彦良也用NIST CSF网络安全框架来说
明，他说，一开始就提到要建立企业本身的轮廓（Profiles），才能知道自己面临的风险
。
举例来说，我们会盘点公司使用的资讯设备，甚至系统元件，如此一来，才能知道那些漏
洞资讯自己需要注意，或是了解公司旗下有哪些产业，才能知道应关注那些领域的资安情
资。
无论如何，企业在做资安工作时，除了基本的资安防护，情资也是一大关心重点。但其实
，威胁情资在资安领域也是很大的一个议题，而建立威胁情报平台（Threat
Intelligence Platform，TIP）的概念，也早已成形。不过，从防疫经验来看，我们至少
要知道的是，及早掌握资讯的重要性，即便后知后觉也比不知不觉要好，而情资的判读也
很重要。
对于普遍企业而言，掌握一般资安情资资讯是基本，还没做到的企业将需要检讨，而就中
大型企业及关键基础建设而言，重视的威胁情资范围将会更广，特别是在APT攻击方面。
https://www.ithome.com.tw/news/138879