专家传真－金融资安 思维应转守为攻

据我们观察，金融业遭到攻击的切入点，普遍来自于外部服务，尤其高度仰赖委外开发的产业共通性系统，大幅增加了内部系统被存取、甚至进一步攻击的可能性。倘若相关系统未经过高强度的资安检测，或是缺乏漏洞回报及修补机制，一旦被攻击者入侵，极有可能迅速蔓延到整个金融体系，造成企业和用户的极大损失。

近两年，金管会大力推动「金融资安行动方案」下，国内金融机构及纯网银已经陆续成立资安部门并设立资安长，目前投入资安的预算也名列产业前茅。以戴夫寇尔实际执行红队演练的经验来看，金融业这几年无论是在整体架构上的强化、资安产品的采用类型及部署广度，抑或是员工的资安意识，都相较其他产业来得俱足，对抗资安威胁的敏锐度显著提高、漏洞修补也变得更加快速。然而，这些加强是否已足够？资安长们该如何推动一个更具韧性的资安环境来因应与日俱增的网路威胁？

现阶段而言，多数金融业者仍采取「纵深防御」的防守策略，以设备、服务搭配不同类型的控制措施将策略制度化，试图抵御来自四面八方的攻击、将威胁阻绝境外。然而，面对日益严峻的资安威胁风险与不断进化的骇客攻击，金融机构已经不易透过前述的防御模式有效抗衡。

因此我们建议，金融业者的资安长与团队在构筑资安防护网时，须针对网路安全边界的模糊化采取更积极的作为，除了透过资安治理来强化「防守方」的应变能力外，更应多加留意「攻击方」所采用的攻击模式与手法在现有的防御机制下，是否能及时应变与处理，从攻击者的思维来厘清现有资安策略规划、长期对抗网路威胁。

在资安领域的「红队演练」，是以企业营运最关键的资讯资产作为演练标的，在不影响企业营运的前提之下，模拟组织型骇客的攻击模式进行入侵攻击。在有限的时间内以无所不用其极的方式，从各种进入点发起行动，尝试达成企业指定的测试任务目标，深度检测企业整体资安防御能力。以独立、公正的角色，协助企业在下一次的真实资安事件或恶意攻击前，及早发现潜在的威胁。而目前国内市值前20大金融保险相关机构里，已有六成以上有执行过红队演练的经验。

我们观察，红队演练对于不同资安成熟度的企业可以带来不同层次的进步，而有些企业确实更适合优先执行红队演练，包含：容易成为攻击目标的上市柜或高资本额企业、以资讯安全做为为特色及优势的公司，或是拥有庞大的数位资产、需要高度安全性来守护的机敏资料等。而金融业本身即具备这些条件，因此更应以最高强度、持续的演练来检视自身的资安配置，进而朝向「金融资安行动方案」中对于强化资安监理、深化资安治理、精实金融韧性及发挥资安联防的目标迈进。

要达到「善守者，敌不知其所攻」的境界，就不能只透过既有的思维布局，而应站在攻击者的角度，找出最急迫且脆弱的环节，做资安资源的有效配置，方能制敌机先。最后，随着数位金融应用服务不断推陈出新，金融业者也应更加具备不断挑战自身弱点的「骇客思维」，利用攻击型资安服务定期检测骇客可能攻击之处，强化企业防御体质，在拥抱数位转型之时，也打造完善且全面的资安防护网。