防骇客钻漏洞入侵金融业 金管会发布「金融业导入零信任架构参考指引」

金管会资讯服务处处长林裕泰,魏乔怡摄

为拉高金融机构资安防御力,金管会18日发布「金融业导入零信任架构参考指引」。金管会资讯服务处处长林裕泰指出,过去金融机构虽有做到「点」的资安防护,但各家着重的部分不同,金管会发出指引,整队、统一标准后,可助金融机构资安防护更为全面。此指引比照美规启动「永不信任,持续验证」的机制,针对以往金融业未布重兵部署的「内网」部分强化防护、侦察与拦阻。

过去国银就发生过骇客从国银海外分行入侵银行内网、远端遥控台湾ATM盗领走数千万元的案例,林裕泰指出,内网是资安防御最脆弱的一环,但若建立好「零信任架构」的话,当内网遭骇客渗透、内部发动攻击时就可适当侦测拦阻,保护关键资源。

林裕泰指出,今年上半年有调查过金融业零信任架构状况,包括:38家银行、40家产寿险公司、19家券商、3家投信、1家期货,各家都有分很多等级在做,只是重点不见得一致,有了指引,就可分阶段进行,由外而内缩小攻击表面并增进防御纵深、由内而外扩大防护表面,参考分级指标分阶段导入资安管控措施,有能力者也可以一步到位。

林裕泰指出,此指引是参考美国网际安全暨基础设施安全局(CISA)零信任成熟度模型,并依据我国金融业属性及既有资安防护能量进行调适,区分四阶段分级指标,并点出六大高风险场域。

林裕泰指出,指引是大框架,可让金融机构从二方向对齐,一、从「点」连成「线」,可去盘点资源存取途径,包括:身分、设备、网路、应用程试、资料;二是场域上,各金融机构重视可能会不同,可自行检视要优先强化哪些地方,以风险导向来讲,就有六大高风险场域。

就风险导向来看,金管会建议业者能先从六大「高风险场域」开始做起,主要包括:远距办公、云端存取、系统维运管理、应用系统管理、服务供应商、跨机构协作。

四级分别是:一、「静态指标」,着重在既有资安防护机制之优化及整合,包含双因子身分鉴别、设备识别、网路区隔与流量加密、应用程式最小授权原则、机敏资料加密及外泄防护等;二、融入「动态指标」,主要参采零信任「永不信任、持续验证」概念,将资源存取时的动态属性(如时间、地点、设备合规状态等)增纳为授权审核条件,可针对异常样态动态撤销、限缩存取授权或即时告警。

三、以即时指标为主,建议整合资安监控机制,于安全资讯与事件管理平台(SIEM)收容及整合资源存取相关事件日志,对入侵指标(IOC)或攻击行为样态(如Mitre ATT&CK TTP)等进行即时的侦测、判断与应处。

四、为最佳化的整合指标,建立可依资安政策快速调适之一致性且自动化之管理机制,确保安全性及合规性。