防骇客钻漏洞入侵金融业 金管会发布「金融业导入零信任架构参考指引」

金管会资讯服务处处长林裕泰，魏乔怡摄

为拉高金融机构资安防御力，金管会18日发布「金融业导入零信任架构参考指引」。金管会资讯服务处处长林裕泰指出，过去金融机构虽有做到「点」的资安防护，但各家着重的部分不同，金管会发出指引，整队、统一标准后，可助金融机构资安防护更为全面。此指引比照美规启动「永不信任，持续验证」的机制，针对以往金融业未布重兵部署的「内网」部分强化防护、侦察与拦阻。

过去国银就发生过骇客从国银海外分行入侵银行内网、远端遥控台湾ATM盗领走数千万元的案例，林裕泰指出，内网是资安防御最脆弱的一环，但若建立好「零信任架构」的话，当内网遭骇客渗透、内部发动攻击时就可适当侦测拦阻，保护关键资源。

林裕泰指出，今年上半年有调查过金融业零信任架构状况，包括：38家银行、40家产寿险公司、19家券商、3家投信、1家期货，各家都有分很多等级在做，只是重点不见得一致，有了指引，就可分阶段进行，由外而内缩小攻击表面并增进防御纵深、由内而外扩大防护表面，参考分级指标分阶段导入资安管控措施，有能力者也可以一步到位。

林裕泰指出，此指引是参考美国网际安全暨基础设施安全局（CISA）零信任成熟度模型，并依据我国金融业属性及既有资安防护能量进行调适，区分四阶段分级指标，并点出六大高风险场域。

林裕泰指出，指引是大框架，可让金融机构从二方向对齐，一、从「点」连成「线」，可去盘点资源存取途径，包括：身分、设备、网路、应用程试、资料；二是场域上，各金融机构重视可能会不同，可自行检视要优先强化哪些地方，以风险导向来讲，就有六大高风险场域。

就风险导向来看，金管会建议业者能先从六大「高风险场域」开始做起，主要包括：远距办公、云端存取、系统维运管理、应用系统管理、服务供应商、跨机构协作。

四级分别是：一、「静态指标」，着重在既有资安防护机制之优化及整合，包含双因子身分鉴别、设备识别、网路区隔与流量加密、应用程式最小授权原则、机敏资料加密及外泄防护等；二、融入「动态指标」，主要参采零信任「永不信任、持续验证」概念，将资源存取时的动态属性（如时间、地点、设备合规状态等）增纳为授权审核条件，可针对异常样态动态撤销、限缩存取授权或即时告警。

三、以即时指标为主，建议整合资安监控机制，于安全资讯与事件管理平台(SIEM)收容及整合资源存取相关事件日志，对入侵指标(IOC)或攻击行为样态(如Mitre ATT＆CK TTP)等进行即时的侦测、判断与应处。

四、为最佳化的整合指标，建立可依资安政策快速调适之一致性且自动化之管理机制，确保安全性及合规性。