金管會拚資安發布「零信任架構參考指引」 點名六大高風險領域先行

金管會爲加強金融三業資安防護,推出「零信任」指引。圖/本報資料照片

金管會今日宣佈,已發佈「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。金管會希望防止駭客進入內網之後,金融機構能否以零信任架構來保護關鍵資源,因此發佈上述指引,其中金管會特別點名六大高風險場域,希望金融三業都能先行着墨加強零信任架構。

所謂零信任,亦即用最嚴格的標準來檢視系統進入者,不因是否爲內部人而有所差別。金管會資訊服務處長林裕泰舉例,若駭客若透過釣魚郵件侵入內部設備,則內網的資安防護可令其在內部流竄時,完成偵測及攔阻,透過零信任的推動,也讓金融業者對此更聚焦。

金管會曾在111年12月發佈「金融資安行動方案2.0」,將「鼓勵零信任網路部署,強化連線驗證與授權管控」納爲精進重點之一。金管會表示,等時機成熟,就會由銀行公會納入自律規範,也會以更明確的條文來要求業者。

金管會表示,考量零信任架構涵蓋整體資安防護框架,導入過程不可能一次到位,而融機構於資安防護均已有一定量能,如雙因子身分驗證、設備健康檢查及網段隔離等;爲鼓勵金融機構在既有的基礎上,以零信任思維續深化資安防護,與金融機構研討過程凝聚之共識,因此訂定上述的指引供金融機構參考運用。

林裕泰說明,金管會今年上半年對銀行、保險、證券都有調查,其中銀行保險全部調查之外,對證券業則調查19家。這個指引主要讓金融機構聚焦,之後讓業者能做更有系統的整理,

從風險導向而言,希望業者能先從高風險場域開始做起,主要包括:遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作等六大場域開始推動,這六大場域,包括非屬傳統資安防護邊界範圍內的遠距辦公及雲端存取;具備特權或高權限者,如重要系統主機及資料庫等的維運管理、應用系統中的帳號管理員或可接觸大量機敏資料之使用者等;以及因應供應鏈攻擊趨勢,對委外廠商或跨機構協作之存取管理。

林裕泰指出,近來很多的資安事件,都跟內網防護不足有關;很多駭客透過釣魚郵件,直接進入個人電腦,操縱木馬程式發動內部攻擊,從個人電腦到個人電腦,甚至另一部主機之間,若沒有足夠防護,就會攻擊成功。也就是,即使是內部的帳號,或內部的設備也不要完全輕信,因爲內部設備也有可能植入後門程式。

在零信任架構的導入策略上,金管會區分四階段分級指標,建議盤點高風險場域之完整存取路徑(身分、設備、網路、應用程式、資料),由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面,分階段導入資安管控措施的分級方式如下:

(一)第一級爲靜態指標,着重在既有資安防護機制之優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外泄防護等,由關鍵資源存取路徑強化防護縱深。

(二)第二級融入動態指標,主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性(如時間、地點、設備合規狀態等)增納爲授權審覈條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。

(三)第三級以即時指標爲主,建議整合資安監控機制,於安全資訊與事件管理平臺(SIEM)收容及整合資源存取相關事件日誌,對入侵指標(IOC)或攻擊行爲樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。

(四)第四級爲最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。