金管會拚資安發布「零信任架構參考指引」 點名六大高風險領域先行

金管会为加强金融三业资安防护，推出「零信任」指引。图／本报资料照片

金管会今日宣布，已发布「金融业导入零信任架构参考指引」，鼓励金融业以零信任思维深化资安防护。金管会希望防止骇客进入内网之后，金融机构能否以零信任架构来保护关键资源，因此发布上述指引，其中金管会特别点名六大高风险场域，希望金融三业都能先行着墨加强零信任架构。

所谓零信任，亦即用最严格的标准来检视系统进入者，不因是否为内部人而有所差别。金管会资讯服务处长林裕泰举例，若骇客若透过钓鱼邮件侵入内部设备，则内网的资安防护可令其在内部流窜时，完成侦测及拦阻，透过零信任的推动，也让金融业者对此更聚焦。

金管会曾在111年12月发布「金融资安行动方案2.0」，将「鼓励零信任网路部署，强化连线验证与授权管控」纳为精进重点之一。金管会表示，等时机成熟，就会由银行公会纳入自律规范，也会以更明确的条文来要求业者。

金管会表示，考量零信任架构涵盖整体资安防护框架，导入过程不可能一次到位，而融机构于资安防护均已有一定量能，如双因子身分验证、设备健康检查及网段隔离等；为鼓励金融机构在既有的基础上，以零信任思维续深化资安防护，与金融机构研讨过程凝聚之共识，因此订定上述的指引供金融机构参考运用。

林裕泰说明，金管会今年上半年对银行、保险、证券都有调查，其中银行保险全部调查之外，对证券业则调查19家。这个指引主要让金融机构聚焦，之后让业者能做更有系统的整理，

从风险导向而言，希望业者能先从高风险场域开始做起，主要包括：远距办公、云端存取、系统维运管理、应用系统管理、服务供应商、跨机构协作等六大场域开始推动，这六大场域，包括非属传统资安防护边界范围内的远距办公及云端存取；具备特权或高权限者，如重要系统主机及资料库等的维运管理、应用系统中的帐号管理员或可接触大量机敏资料之使用者等；以及因应供应链攻击趋势，对委外厂商或跨机构协作之存取管理。

林裕泰指出，近来很多的资安事件，都跟内网防护不足有关；很多骇客透过钓鱼邮件，直接进入个人电脑，操纵木马程式发动内部攻击，从个人电脑到个人电脑，甚至另一部主机之间，若没有足够防护，就会攻击成功。也就是，即使是内部的帐号，或内部的设备也不要完全轻信，因为内部设备也有可能植入后门程式。

在零信任架构的导入策略上，金管会区分四阶段分级指标，建议盘点高风险场域之完整存取路径（身分、设备、网路、应用程式、资料），由外而内缩小攻击表面并增进防御纵深、由内而外扩大防护表面，分阶段导入资安管控措施的分级方式如下：

(一)第一级为静态指标，着重在既有资安防护机制之优化及整合，包含双因子身分鉴别、设备识别、网路区隔与流量加密、应用程式最小授权原则、机敏资料加密及外泄防护等，由关键资源存取路径强化防护纵深。

(二)第二级融入动态指标，主要参采零信任「永不信任、持续验证」概念，将资源存取时的动态属性（如时间、地点、设备合规状态等）增纳为授权审核条件，可针对异常样态动态撤销、限缩存取授权或即时告警。

(三)第三级以即时指标为主，建议整合资安监控机制，于安全资讯与事件管理平台(SIEM)收容及整合资源存取相关事件日志，对入侵指标(IOC)或攻击行为样态(如Mitre ATT&CK TTP)等进行即时的侦测、判断与应处。

(四)第四级为最佳化的整合指标，建立可依资安政策快速调适之一致性且自动化之管理机制，确保安全性及合规性。