Hot News

首頁 / 時事直擊 / 資訊.科技 / 打造高效防護網 落實金融資安聯防

打造高效防護網 落實金融資安聯防

文章發表:2022/05/18

採訪、撰文:吳慧倫

數位轉型下,企業受網路攻擊顯著增加,公司需要更有效的方法保障網路資安,帶起「永不信任、始終驗證」的「零信任安全」,加上風險管理觀念興起,企業應定期舉辦資安事件演練,才不至於在風險真正來臨時應變不及。

數位轉型下,企業受網路攻擊顯著增加,公司需具備更有效方法保障企業網路的資安,因而帶起「永不信任、始終驗證」的「零信任安全」(Zero Trust Security)概念興起;然而,企業過去防止網路攻擊,通常把火力集中於打造「護城河」,但即使防火牆再完美,也萬萬沒想到帳號密碼早已被內部外洩,專家提醒,企業導入「零信任」全新思維,才能徹底防範敵人攻入。

「零信任」新思維 徹底防範網攻

中華民國銀行商業同業公會全國聯合會2021年11月25日於台灣金融研訓院舉行「金融資安聯防教育訓練研討會課程」,首場課程由勤業眾信執行副總陳威棋,分享「金融業零信任架構導入策略」。

69%企業坦言 2021年網攻比率增加

陳威棋指出,根據勤業眾信調查,企業數位轉型下,AI等新興科技運用大增,有69%企業坦言,2021年遭受網攻頻率比往年增加;且進入後疫情時代,民眾工作模式改變,若遭到勒索軟體攻擊、機密資料外洩等狀況,將影響到企業主要營運,成為企業最大挑戰,導致內部信任度下降,股價也恐跟著下跌。

陳威棋表示,資安防護能力、強化隱私保護能力很重要,若這些能力有所提升,才可在金融科技有所發展,簡單來說,「把資安做好,對金融科技就會有很大的助益」;企業在不同面向投入資源將是一大重點,畢竟資安要管的很多,包括從事前防禦監控、應變機制等,各方面都要花費成本。

他強調,「傳統資安問題早已延伸為犯罪問題,很多是熟悉產業、專業分工的犯罪集團,甚至是『國家級網軍』。」目前網路攻擊分工很細,手法包括釣魚、垃圾郵件或是身分竊盜,也有人負責洗錢,是相當縝密的犯罪集團,成為企業的假想敵,如何有效對抗,是所有企業要面對的挑戰。

不僅仰賴邊界保護 更應設計有效存取機制

然而,很多資安人員其實仍不了解新型態網攻模式,而且,目前資安的防禦機制能否介接也是問題,在新挑戰接踵而至下,各界才開始有不同思維與突破。舉例來說,傳統資安防護網是在外部打造城牆、護城河的思維,以為砸重本把牆築高,就能抵禦外部敵人,但後來才發現,其實內部早已將重要資料外洩。因此,2010年「零信任」概念被提出,強調企業不應信任內部與外部任何連線及實體接觸,每次連線或系統存取都要更嚴格把關。

陳威棋說,一般金融機構都不允許從外部進入,由內部網路存取資源,不過,在疫情時代工作模式改變,這種資安模式恐被打破,現階段如何設計更有效的存取機制,將是企業導入零信任架構要在意的重點跟方向,雖然現在很多設備已強調自己是零信任,但要如何搭配內部策略和存續機制是關鍵,目前尚無一套機制可以完全保護,且仍在導入過程,企業還要一段時間建立觀念,雖然大家都很仰賴邊界保護,但資安世界頻頻被突破,零信任觀念要加速討論。

以IT網管平台業者SolarWinds遭受供應鏈攻擊事件舉例,此案可說是史上最大國家級資安威脅之一,疑似遭俄羅斯駭客入侵該公司平台產品,其實駭客原本無法入侵,但透過採購平台進入後便無所遁形,由於美國前500大企業都使用這種軟體採購平台,此案造成重大影響,美國國土安全部也緊急下令,要求所有聯邦機構停用這款產品。

五大步驟 有效防止敵人入侵

陳威棋說明,目前網攻都是靜悄悄透過正常管道進入,不會經過防火牆、沒有外到內的跡象,而是透過採購把產品帶進來,並繞過防禦機制、執行規避技術,例如先休息2年半後才開始動作,期間會刪除相關跡證,使內部無法發現,慢慢移動到想移動的地方,隨後開始合法化獵取帳號。

展望現在與未來,他建議,雖然台灣尚無如此針對性的網攻行為出現,但未來難保不會出現此風險,企業在網路安全上應有更細緻分析,要達到更好的效果,企業下一步應從案例分析、概念證明開始著手,透過5大步驟展開。

第1階段是召開工作坊,透過溝通起步,先讓與會者了解零信任概念,並檢視國外案例,觀察外部金融機構如何進行,並將系統布建相關機制;第2階段是建立基準,成立工作小組,針對零信任成熟度自我評估,了解現況並評估威脅形勢。

第3階段則是制定戰略、願景跟架構,包括零信任架構、戰略路徑圖制定等;第4是案例定義、PoC評估,選好試驗場景和主要的驗證機制,並完成案例設計;最後是建置階段,開始大規模布建,訂出細項計畫與時間表,以及架構和政策定義等,一般來說國外至少都要2至5年時間。

預防+印證+回復 有效管理金融科技風險

金融科技(Fin Tech)利用科技手段,打破舊有金融服務模式,使金融業變得更開放且透明、即時且客製化、智慧且安全,融入消費者生活及企業客戶營運中,但俗話說「吃燒餅沒有不掉芝麻」,相繼而來的風險也無法避免,企業不只要事前預防,也要事中印證、事後回復,事件發生時就能迅速因應。

中華民國銀行商業同業公會全國聯合會於2021年11月25日於台灣金融研訓院舉行「金融資安聯防教育訓練研討會課程」,第2場課程由勤業眾信執行副總陳鴻棋,講述「金融業新興科技風險管理」的執行重點。

資安結合ESG 發揮空間大

陳鴻棋指出,目前ESG議題很夯,例如蘋果在2030年前要達到零碳排,各大部門都要一起貢獻努力,雖然IT、資安部門不知道如何在環境上有所貢獻,但資安在ESG仍有很大的努力機會,例如綠色機房、機房減碳排,在環境方面可多加著墨,顯示資安其實可以與ESG緊密結合,在外在環境變遷下,資安在數位轉型上有很大發揮空間,企業應在盤點後評估,並著手轉型。

在金融業方面,陳鴻棋認為,金融機構將有8大趨勢,尤其以提高數位化最受關注,很多單位會成立數位發展小組、數金單位等,並配合金融產品數位化,例如機器人流程自動化(RPA)等。

其次是降低數位網路風險與金融犯罪,例如保險業在理賠詐欺上,會自動去找關聯性,這部分要分析很多資料,會有類似金融犯罪的議題衍生,另外如信用卡業務也有盜刷風險等,都會應用到相關AI風險,金融業在敏捷開發與資訊安全能否兼顧,應把資安也列入考量思維。

陳鴻棋說,2021年以來受到疫情衝擊,線下交流受阻,雖然使全球生活方式出現大轉變,但也讓數位工具的參與度提高,根據勤業眾信調查,民眾喜歡視訊會議、線上軟體,且6成以上的民眾明確表示,不會因為疫情趨緩就不去使用這些工具,顯示疫情帶來4面向影響,第1是數位科技工具需求提升;第2是客戶體驗重要性提高,純網銀能做的,未來一般銀行也可做;第3,大數據分析與上雲趨勢更重要;第4,監管科技也會加速發展。

舉例來說,國內除了純網銀之外,未來還有純網保正在規劃中,2022年3月就會有公聽會,目前純網銀多家競合、合縱連橫的局面,純網保勢必也會有類似狀況,新興科技會與純網保合作,例如香港純網保公司就有核准推出傳統保險通路不會思考的寵物險等商品,可讓使用者觸及率更高。

法遵、資安、海外分行合規 皆為重中之重

但陳鴻棋指出,數位力提高,跟著而來的還有資安風險,勤業眾信針對600家企業進行調查報告發現,目前金融市場在技術工具運用時,逾7成企業投資技術比重都砸在網路安全上,數位轉型衝擊下,人員能量、能力可否跟上,將會是環環相扣的議題。

因此,未來金融業法遵、資安、海外分行是否合規,都是重中之重,使近年監理科技(Reg Tech)快速發展,能否自動化梳理很重要,例如資安相關法規若有更新,就會自動化去更新以達持續合規管理,若這部分未來能夠「一條龍」做到完成,業者勢必會輕鬆很多。

陳鴻棋說,傳統大數據可強化客戶關係管理,但資料生命周期方面,要把風險概念和角度放進去,在產品開發逐步強化,例如機器人智慧客服就有進步空間,像是海外證券業者的聊天機器人,仍有很大的過程要去控管加強,包括人力配置、品質速度都是考量重點。

「全通路」金融體驗 成新獲利來源

他進一步提到,在數位時代有「破壞式科技」,包括雲端服務和應用程式介面(API)經濟,最近有些金融業者用了大量API,可加速提供數位體驗,廣布「全通路」金融體驗,進而成為新獲利來源,同時就要有API管理規範,包括API安全監控、身分認證識別、異常行為監控、資料存取監控、資料流向監控等。

另外,在發展開放銀行(Open Banking)上,去識別化也很重要,落地資料去識別化機制要有一些標準,例如ISO 29192等規定,透過限定分群大小,把一定能夠識別的先剔除,在把其他去識別化,這部分有標準流程去執行,例如進行行銷趨勢分析時,整批客戶資料的提供,就要做好識別化。

陳鴻棋強調,資安威脅應變,過去是事前預防,但畢竟「吃燒餅沒有不掉芝麻」、會有偶發事件,很難只依賴事前預防,因此,事中因應、事後回復都要有對應的作業流程,目前銀行公會有資安事件的緊急應變程序,但這些流程事前就已想好,萬一事中發生後才開始想就來不及,建議企業在事前就考量全局,也可定期舉辦資安事件的演練,例如模擬雲端業者無法提供服務,業者該怎麼應對,或是RPA帳號密碼被盜用,相關環境被攻擊時該如何因應。

^