防駭客鑽漏洞入侵金融業 金管會發布「金融業導入零信任架構參考指引」

金管會資訊服務處處長林裕泰，魏喬怡攝

爲拉高金融機構資安防禦力，金管會18日發佈「金融業導入零信任架構參考指引」。金管會資訊服務處處長林裕泰指出，過去金融機構雖有做到「點」的資安防護，但各家着重的部分不同，金管會發出指引，整隊、統一標準後，可助金融機構資安防護更爲全面。此指引比照美規啓動「永不信任，持續驗證」的機制，針對以往金融業未布重兵部署的「內網」部分強化防護、偵察與攔阻。

過去國銀就發生過駭客從國銀海外分行入侵銀行內網、遠端遙控臺灣ATM盜領走數千萬元的案例，林裕泰指出，內網是資安防禦最脆弱的一環，但若建立好「零信任架構」的話，當內網遭駭客滲透、內部發動攻擊時就可適當偵測攔阻，保護關鍵資源。

林裕泰指出，今年上半年有調查過金融業零信任架構狀況，包括：38家銀行、40家產壽險公司、19家券商、3家投信、1家期貨，各家都有分很多等級在做，只是重點不見得一致，有了指引，就可分階段進行，由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面，參考分級指標分階段導入資安管控措施，有能力者也可以一步到位。

林裕泰指出，此指引是參考美國網際安全暨基礎設施安全局（CISA）零信任成熟度模型，並依據我國金融業屬性及既有資安防護能量進行調適，區分四階段分級指標，並點出六大高風險場域。

林裕泰指出，指引是大框架，可讓金融機構從二方向對齊，一、從「點」連成「線」，可去盤點資源存取途徑，包括：身分、設備、網路、應用程試、資料；二是場域上，各金融機構重視可能會不同，可自行檢視要優先強化哪些地方，以風險導向來講，就有六大高風險場域。

就風險導向來看，金管會建議業者能先從六大「高風險場域」開始做起，主要包括：遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作。

四級分別是：一、「靜態指標」，着重在既有資安防護機制之優化及整合，包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外泄防護等；二、融入「動態指標」，主要參採零信任「永不信任、持續驗證」概念，將資源存取時的動態屬性（如時間、地點、設備合規狀態等）增納爲授權審覈條件，可針對異常樣態動態撤銷、限縮存取授權或即時告警。

三、以即時指標爲主，建議整合資安監控機制，於安全資訊與事件管理平臺(SIEM)收容及整合資源存取相關事件日誌，對入侵指標(IOC)或攻擊行爲樣態(如Mitre ATT＆CK TTP)等進行即時的偵測、判斷與應處。

四、爲最佳化的整合指標，建立可依資安政策快速調適之一致性且自動化之管理機制，確保安全性及合規性。