關鍵基礎設施的跨界威脅與情報鴻溝

全球關鍵基礎設施（Critical Infrastructure, CI）是國家經濟運行和社會穩定的基石，其網路安全狀態已成為國家級安全議題。隨著數位化和物聯網（IoT）技術的廣泛應用，不同行業之間的系統互聯性空前提高，這使得網路威脅的擴散速度和潛在破壞力呈指數級增長。單一產業的網路事件極易透過供應鏈或共享技術基礎設施，快速溢出至其他關鍵部門，形成不可預測的連鎖反應。

面對日益複雜且無行業界限的網路攻擊，防禦方的挑戰已不再是資訊的有無，而是如何從龐雜的數據流中提取出有意義、可立即採取行動的情報，亦即從單純的「警報」（Alerts）轉向「行動」（Action）。澳洲關鍵基礎設施網路安全資訊共享與分析中心（CI-ISAC）的高層，便針對這一關鍵問題提出了深刻的見解。

 

從「可見性」到「清晰度」：網路韌性的核心挑戰

當前的網路防禦系統和國家安全諮詢，不斷地向關鍵部門的安全團隊輸送著海量的數據流。這些資訊的「可見性」（Visibility）雖高，但因缺乏必要的背景資訊和關聯性，往往導致決策癱瘓或資源浪費。

攻擊者不會區分產業邊界，針對某個地區委員會的網路釣魚活動，幾天之內就能輕易轉移到醫療保健或公用事業領域，在醫療保健領域發生的事件很容易擴散到能源、交通或地方政府部門。澳洲網路安全資訊共享與分析中心 (CI-ISAC) 的一位高層強調，必須從發出警報轉向採取行動，跨行業共享經過驗證的指標和背景信息，可以將孤立的應對措施轉化為集體防禦。 「挑戰不在於可見性，而在於清晰度」David Sandell在最近一篇 CI-ISAC 的文章中寫道。「關鍵行業的安全團隊會收到來自系統、供應商和國家安全建議的源源不斷的數據。然而，如何將這些嘈雜的信息轉化為有意義的洞察，仍然是防禦中最難的部分。網路韌性不僅僅取決於信息，它還取決於可操作的情報，取決於融入背景訊息、相關性以及清晰後續步驟的數據。」 Sandell認識到澳洲的關鍵基礎設施生態系統多元、相互關聯且至關重要，並詳細闡述了保護該系統需要能夠驅動行動的情報，而不僅僅是提高認知。「透過將原始訊息轉化為清晰、具有背景意義的洞察，各組織可以及早採取行動，控制風險，並保障其服務社區的持續運營。這正是可操作情報的作用所在，也是CI-ISAC的建立初衷。

這種對「清晰度」（Clarity）的強調，揭示了網路韌性戰略的重心轉移：情報必須是「可操作的」（Actionable），意即數據中需包含「為何重要」、「如何應對」以及「優先次序」等關鍵要素。

 

可操作情報的實戰價值：轉化為業務成果

可操作情報的價值絕非僅限於技術層面，它直接轉化為具體的業務成果和國家級韌性策略。當安全與IT領導者理解了威脅的重要性以及應對方式後，他們能夠：

• 縮短停機時間： 早期行動可以防止小型入侵演變成全面的服務中斷。對於關鍵基礎設施而言，幾小時的預見能力，足以決定事故是僅限於遏制，還是會造成跨多個行業的連鎖影響。

• 優化應對效率： 團隊能夠更自信地對威脅進行優先排序和修復，將注意力集中在真正重要的風險上，而非疲於奔命地處理每個警報。

• 強化資源效益： 資源分配變得更有效率，避免將有限的安全資源浪費在非關鍵警報上。

• 促進內外協調： 一致且經過驗證的情報能夠協調內部團隊，並與外部合作夥伴保持同步。

此外，由於威脅不會止於組織邊界，情報也不應受限。跨行業共享經過驗證的指標和背景洞察，能夠將個別組織的應對轉化為集體的防禦。當一個營運商的偵測成為另一個營運商的預防措施時，整個體系的韌性便會呈倍數增長。這種協作思維，尤其能幫助資源有限的小型或區域性服務供應商，與大型企業享有同等品質的情報防禦能力。

 

CI-ISAC的情報轉化機制：從數據到行動

CI-ISAC正是將這種「可操作情報」模式付諸實踐的實體。其核心功能在於彌合資訊意識與實際行動之間的鴻溝。

CI-ISAC正是將這種模式付諸實踐的地方，它整合了廣泛的國家級數據，並將其轉化為特定行業、具有針對性的情報，可立即在運營層面使用。當出現新的攻擊活動或漏洞時，CI-ISAC 的分析師會驗證相關指標，將其映射到已知的攻擊框架（例如 MITRE ATT&CK），並與成員分享實用且與行業相關的指導。

這種機制確保了營運商不僅知道威脅的存在，還能了解自身是否曝露於風險之下，應優先採取哪些緩解步驟，以及同行是如何應對的。最終結果是更快的決策、協同一致的行動，以及澳洲重要服務整體態勢的強化。

特別值得注意的是，澳洲政府已向CI-ISAC撥款640萬澳元，用於建立專門針對醫療保健部門的資訊共享與分析中心。此舉是對近期針對醫療機構網路攻擊的直接回應，體現了政府對該領域作為首個獲得正式資助的關鍵部門的高度重視。這突顯了ISAC模式在面對特定行業、高價值目標威脅時，能夠快速組織資源並進行精準防禦的能力。

 

台灣關鍵基礎設施防護的啟示與戰略建議

澳洲CI-ISAC的經驗為台灣在深化關鍵基礎設施防護方面提供了明確的戰略方向。台灣的關鍵基礎設施同樣具備高度互聯、地域集中且面對複雜地緣政治威脅的特點，因此，從「可見性」到「清晰度」的轉變至關重要。

建立公私協力、跨域協作的情報生態圈 借鑒CI-ISAC，台灣應進一步強化現有的資訊共享與分析中心（ISAC）功能，不僅作為情報的傳遞者，更要成為情報的「加工者」和「轉化者」。重點應放在將國安級別的原始數據，轉化為行業營運者能夠立即理解和部署的、映射到 MITRE ATT&ATT&CK 等框架的實用情資，尤其是針對金融、能源、通訊和醫療等高度關聯的部門。

投資情報分析能力與標準化流程 面對海量數據，政府與企業需共同投入資源，培養具備高度情資分析能力的人才。同時，推動標準化的情報格式和共享協議，確保在事件發生時，不同組織和部門能夠快速、無縫地交換經過驗證的指標和緩解措施，從而形成一個真正的「集體防禦」閉環。

優先強化最脆弱環節的韌性 由於小型或區域性關鍵基礎設施營運商通常資源較為有限，應利用ISAC平台，確保這些單位能獲得與大型機構同等品質的情報支援。這不僅是防禦策略的公平性考量，更是因為最薄弱的環節往往是攻擊者滲透整個網路生態的突破口。將情報共享作為國家韌性戰略的一部分，是確保服務持續運營、保障社會福祉的長遠之道。

資料來源：https://industrialcyber.co/critical-infrastructure/ci-isac-calls-for-clarity-as-cyber-threats-spill-across-australia-critical-infrastructure-focus-shifts-to-resilience/