台湾之光!刑事局资安鉴识实验室 全球第一通过ISO/IEC资安鉴识认证
▲刑事局科技犯罪防制中心兼科技研发科主任林建隆。(图/记者张君豪摄)
刑事局科技研发科的数位暨资安鉴识实验室在5月28日经「全国认证基金会(TAF, Taiwan Accreditataion Foundation)审核通过ISO/IEC 17025 「Windows程式行为分析」认证,成为全球第一个获得此认证的执法机关,也是目前全球唯一一个通过此项认证的实验室,足见台湾警察机关在科技犯罪侦查技术上确有独到领先之处。
▲刑事局科技犯罪防制中心的数位暨资安鉴识实验室一景。(图/记者张君豪摄)
刑事局指出,不管是常见的骇客攻击如社交工程电子邮件、木马病毒或是勒索软体,都是透过恶意程式进行破坏电脑系统档案或是与远端中继站连线进行控制或窃取资料,而「Windows程式行为分析」就是应用在资安事件调查中的恶意程式分析。
▲刑事局科技犯罪防制中心的数位暨资安鉴识实验室一景。(图/记者张君豪摄)
刑事警察局资安鉴识实验室将分析调查流程分为三阶段:基本工作包含:将可疑程式样本进行Windows程式之杂凑值、签章及加壳查验。以及档案行为分析:使用模拟环境分析档案与注册表之新增/删除/修改情形及执行程序。并进行网路连线分析:分析对外档案传输、查询网域名称及连线IP。此标准化分析方法经ISO/IEC 17025认证通过,为全球首创,其不仅可以了解恶意程式对于作业系统的影响、感染方式与破坏程度,更可以分析异常对外连线情形,进而溯源侦查骇客来源与阻断攻击。
刑事局表示,该局科技研发奢数位暨资安鉴识实验室,早在2006年4月建立科技犯罪防制中心,并在其下科技研发科成立「数位鉴识实验室」,负责处理电脑主机、行动电话等数位装置的采证鉴识分析,堪称台网警方网路科技犯罪侦查最高机构,并专责处理企业重大资安事件及骇客盗取政府、企业资讯案件。
该实验室并获得法务部高检署于2014年选任为数位鉴识概括授权鉴定机关,符合刑诉法嘱托鉴定规定并在2016年通过ISO/IEC 17025认证项目「资讯重现(删除资料与还原、关键字搜寻)」,提高数位证物在法庭上的证据能力。
刑事局科技犯罪防制中心为进一步强化资安事件调查与鉴识分析能量,再于2017年增设「资安鉴识实验室」,专责处理骇客攻击、LOG分析、程式行为分析与手机漏洞检测等重大资安事件。并参与行政院「国家资通安全发展方案」中的「资安旗舰计划」与「资安跨域整合联防计划」,不断充实各项资安鉴识软硬体设备及培养专业人才,并且建立符合ISO/IEC 17025的认证实验室。
数位暨资安鉴识实验室这次获得全球第一个通过ISO/IEC 17025 「Windows程式行为分析」认证,早于2019年开始准备,并由刑事局科技研发科开规划,鉴真数位公司辅导,并在国安局、行政院资通安全处指导与协助下进行。
由于全世界尚无任何一个实验室通过该认证项目,因此认证程序所必要之能力试验的实验室间比对,认证过程由「行政院国家资通安全会报技术服务中心」共同参与,始获得全国认证基金会的认可通过,未来刑事局期能在资安事件频传之时,展现专业技术,与国安及行政院资安团队共同打击网路犯罪。
【相关新闻】►快下班了!全台分区停电号志失灵 警、义交总动员维护交通