防駭客鑽漏洞入侵金融業 金管會發布「金融業導入零信任架構參考指引」
金管會資訊服務處處長林裕泰,魏喬怡攝
爲拉高金融機構資安防禦力,金管會18日發佈「金融業導入零信任架構參考指引」。金管會資訊服務處處長林裕泰指出,過去金融機構雖有做到「點」的資安防護,但各家着重的部分不同,金管會發出指引,整隊、統一標準後,可助金融機構資安防護更爲全面。此指引比照美規啓動「永不信任,持續驗證」的機制,針對以往金融業未布重兵部署的「內網」部分強化防護、偵察與攔阻。
過去國銀就發生過駭客從國銀海外分行入侵銀行內網、遠端遙控臺灣ATM盜領走數千萬元的案例,林裕泰指出,內網是資安防禦最脆弱的一環,但若建立好「零信任架構」的話,當內網遭駭客滲透、內部發動攻擊時就可適當偵測攔阻,保護關鍵資源。
林裕泰指出,今年上半年有調查過金融業零信任架構狀況,包括:38家銀行、40家產壽險公司、19家券商、3家投信、1家期貨,各家都有分很多等級在做,只是重點不見得一致,有了指引,就可分階段進行,由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面,參考分級指標分階段導入資安管控措施,有能力者也可以一步到位。
林裕泰指出,此指引是參考美國網際安全暨基礎設施安全局(CISA)零信任成熟度模型,並依據我國金融業屬性及既有資安防護能量進行調適,區分四階段分級指標,並點出六大高風險場域。
林裕泰指出,指引是大框架,可讓金融機構從二方向對齊,一、從「點」連成「線」,可去盤點資源存取途徑,包括:身分、設備、網路、應用程試、資料;二是場域上,各金融機構重視可能會不同,可自行檢視要優先強化哪些地方,以風險導向來講,就有六大高風險場域。
就風險導向來看,金管會建議業者能先從六大「高風險場域」開始做起,主要包括:遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作。
四級分別是:一、「靜態指標」,着重在既有資安防護機制之優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外泄防護等;二、融入「動態指標」,主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性(如時間、地點、設備合規狀態等)增納爲授權審覈條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。
三、以即時指標爲主,建議整合資安監控機制,於安全資訊與事件管理平臺(SIEM)收容及整合資源存取相關事件日誌,對入侵指標(IOC)或攻擊行爲樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。
四、爲最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。