防駭客入內網!「零信任指引」上路 金融業要做兩件事
金管會發布「金融業導入零信任架構參考指引」,有兩大關鍵,一、金融業需將資安防護商品或解決方案做整合,以提早偵測異常、阻斷重大資安事件,二、六大高風險資安場域,希望金融業可優先盤點。圖/本報資料照片
爲避免駭客透過釣魚網站入侵金融業內網,進而發動攻擊,金管會發布「金融業導入零信任架構參考指引」,有兩大關鍵,一、金融業需將資安防護商品或解決方案做整合,以提早偵測異常、阻斷重大資安事件,二、六大高風險資安場域,希望金融業可優先盤點。
臺灣金融史上第一次,東歐駭客集團從銀行倫敦一臺電話錄音伺服器,橫跨一萬公里,遠端遙控臺灣北中兩地,讓這家大型銀行共41臺ATM「自動吐鈔」還派出車手盜領了逾8,300萬元,引發市場譁然。
金管會資訊服務處長林裕泰說,推動「零信任」這件事精神就是「永不信任」。不要相信內網有不被入侵的機會。而導入「零信任」不是買新產品或解決方案去替換,而是逐步漸進的進階整合。
如駭客透過釣魚郵件,侵入內部設備,從內部發布攻擊時,內網是否可有相當等級的資安防護,當駭客在內部攻擊時,可做適當偵測、攔阻和阻擋。
林裕泰說,過去金融業的「零信任」是很大框架,公佈該指引是希望藉由一個明確架構和參考指引,讓金融業不再從個別的「點」來做,是從駭客攻擊的路徑去看。
金管會希望各金融業加強兩大方向,一、將五大資料存取途徑的「點」連成一條線。這五大資料存取途徑是身分、設備、網路、應用程式和資料,而「點」連成「線」,是將駭客攻擊樣態做關聯性分析,以及早偵測。
例如駭客僞冒身分登入,會植入其使用設備(例如木馬程式),透過網路做一些探測性行爲,再進入應用程式並取得授權,取得關鍵性或機敏性資料。
他說,當出現攻擊時,資安防護不能只看一個點,而是要對準到駭客攻擊行爲,當每個點所部署資安防護,發生事件時,是否可以集中收集、做關聯分析,依駭客攻擊樣態做對照。
這些資安防護機制可以整合,可及早發現異常、及早點阻斷一些嚴重資安事件,這就連成了一條線。
第一件要做的事情,把既有資安防護商品,或解決方案,可做一些整合。整合就是資安監控機制和事件管理平臺中,把一些資訊可做清楚收集做管理分析,找到異常樣態。
其次,將以六大高風險場域的地方可以優先強化,優先做盤點。包括遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作等。
金管會上半年調查了38家國銀、40家保險業和19家較大規模券商、1家期貨和三家投信,各金融業在既有資安防護「點」上,有跟零信任相關的防護項目,公佈該指引後,希望各業者把對零信任概念對齊才能做更有系統整理。
因此僅行政指導,金管會希望實施一階段後,若各金融業在資安防護原則執行上都已達成,就可以請各公會評估納入自律規範,形成一個具體可實施條文。