鼓勵網路零信任 提高數位免疫力
臺灣銀行家第164期:臺美合作 金融資安更罩(臺灣金融研訓院)
日前臺灣、美國雙方專家齊聚一堂討論「資安韌性」,因氣候變遷、COVID-19疫情、地緣政治等風險籠罩全球,各界益發重視資訊安全,如今已將資安韌性視爲攸關企業存亡的課題。
時值全球企業界力拚數位轉型之際,也代表網路邊界不復存在,企業如何強化資安應變能力、提升數位韌性,將是「資訊安全治理」相關議題的焦點所在。日前,臺灣、美國雙方專家齊聚一堂討論並互相交流如何強化資訊安全的見解及最佳落實之道,畢竟資安攻防戰必須瞭解矛與盾,與邪惡組織鬥法才知如何勝出。
臺灣微軟顧問服務總經理林義評在題爲「強化金融資安韌性與資料保全」的演講中指出,以往「資安韌性」(Resilience)這樣的議題只會被視爲技術層面的問題,但隨着氣候變遷、COVID-19疫情、地緣政治等風險籠罩全球,各界益發重視資訊安全,如今已將資安韌性視爲攸關企業存亡的課題。
「現在惡意攻擊已經變得很廉價,成了一門生意。」林義評說,現在像是阻斷式攻擊、個資盜取、網路詐騙、勒索軟體等產品或服務,在臺面下的「黑暗世界」中都能輕易買到,而且不再只是駭客的個人行爲,已發展爲縝密的犯罪指揮體系。
AWS專業領域架構師經理楊仲豪則觀察指出,如今客戶已經不再問「How to go to the cloud」(如何上雲端),而是在問「Operations in the Cloud」(雲端上的營運管理)。在他看來,想要完全不面臨資安方面的攻擊是不可能的,重點是建置「營運管理的韌性」(Operational Resilience)之目標,不能一被攻擊就被打倒。
要做到這一點,實屬不易,因爲關於網路安全的威脅,型態日益複雜。資策會資安所總監暨金融研訓院資安顧問許建榮引用美國軟體業者Desk Alerts的資料指出,2023年金融業者必須正視五大網路安全危機。
一是「勒索軟體」,被勒索軟體所攻擊的組織內部系統可能會長時間癱瘓,尤其一旦沒有備份的話,即便向這些駭客或犯罪分子支付贖金,也未必能保證系統恢復正常;二是「遠距工作所帶來的持續風險」,員工不會僅接觸到由組織所控制的系統或雲端軟體,業者面臨的潛在網路安全漏洞也將多於以往。
三是「來自雲端的網路攻擊激增」,這始終是銀行業界所面臨的普遍威脅之一;四是透過操縱人類心理,使其採取特定行動或泄漏機密的「社交工程」(Social Engineering)陷阱,像是網路釣魚、鎖定名人或公司高階經理人的捕鯨攻擊、傳送假髮票等;五是「供應鏈攻擊」,主要是針對軟體供應商的客戶提供代碼,使對方接觸會遭受攻擊的惡意軟體。
對於越來越繁複的資安攻擊手法,金融業者更必須嚴陣以待。不論對臺灣或其他國家來說,金融業都是關鍵的基礎設施,若說「金融安全」等同於「國家安全」,一點都不爲過。
國防安全研究院助理研究員楊長蓉分析,金融業具備顯著的「Interconnec-tedness」(相互關聯)特性,今天若是油、水力、電力相關公共事業體的網路遭受攻擊,還有機會透過與外界隔離的內部網路來保持運作,但金融業與其他行業、單位是高度連結的,對外的節點多,遭受攻擊的機率自然相對高。
除此之外,凱基銀行金融科技處副總經理兼任資訊安全長周旺暾指出,金融業有越來越多員工遠距工作、遠距服務,以及客戶越來越習慣使用數位工具,高頻交易又比以前普及,皆讓Maker-Checker(制定者與檢查者之授權原則)的管制方式深受挑戰。
銀行業者還普遍面臨一大問題,就是資訊系統架構過於老舊,而且過往可能每一次進行不同專案,就向不同的資訊業者購買系統,最後搞得整個系統疊牀架屋,讓資安防護的工作難度大幅提高,再加上軟體的生命週期大幅縮短,甚至可能某一項新軟體甫上線便過時了,駭客們也更有機可乘。
正因爲如此,金融業應當重新定義資安韌性。林義評認爲,這種韌性應當包括在脆弱的體質下保持成長的能力、從災害中恢復的能力、抵抗失敗的能力。
楊長蓉也說,一旦金融業者遭受攻擊,如何在第一時間察覺,並快速修復,維持業務永續運作、客戶信心不被動搖,已經是國安等級的議題了。
有鑑於此,金管會發布「金融資安行動方案」2.0版,包括擴大資安長的設置、強化數位身分驗證的安全性、鼓勵「零信任網路」(Zero Trust Network, ZTN)的部署等措施。其中「零信任網路」是近年來深受金融業者矚目的觀念,也被視爲提升資安的可行方案之一。(全文請見8月號臺灣銀行家)