台灣駭客協會HITCON
對於國家產業發展而言,資安防護早已成為全球關注重點,成立不同領域的資安情資分享分析中心(ISAC)平臺,則是近年各國的主要作法,其中,金融領域的重要性更是不言而喻。在本月13日舉行的HITCON 2018 Pacific大會現場,日本F-ISAC専務理事鎌田敬介,現場提供了他們的運作經驗,幫助300多個成員促進更多的情報與資源分享。
其實,臺灣在去年底才剛剛設立了金融資安資訊分享與分析中心(F-ISAC),並委由財金資訊公司負責中心營運,處於發展起步階段,而從這次日本F-ISAC來臺推動的過程,也將成為我國得以借鏡的機會。
以促進成員資源分享為主軸,藉由工作小組與逼真演練來落實
先從國家金融層面的角度來看,鎌田敬介指出,他們將日本金融分成三大層級,包含政策戰略、標準準則與程序運作,當中分別可對應不同的組織機構及執掌畫分。舉例來說,政策戰略層就像是日本的金融聽、日本銀行等角色,標準準則層包含銀行、證券、保險等協會,至於程序運作層,就是F-ISAC。
在日本F-ISAC的發展上,是從2014年8月正式成立,至今已經超過4年。事實上,該組織的雛形是從2012年開始確立,當時由7家主要銀行發起,目前已有超過363個成員。而且,在委員會成員中,也包含了12個業界的代表。
鎌田敬介認為,面對現在的資安風險,沒有一家業者能有足夠的資源來因應。更重要的是,儘管許多銀行可以部署很好的系統來防禦網路攻擊,但還有不少小銀行沒有資源,如何能讓這些資源可以有更好的分享,就是他們的重要工作。
值得一提的是,為了讓資源分享有更細的畫分,目前日本F-ISAC設立了10個不同項目的工作小組,讓成員可以參與多個不同的小組活動。綜觀這些工作小組的內容,包含了事件應變、網路安全練習、反詐欺匯款、全球資訊共享、教育、情報、最佳實作規範、安全性弱點應變、金融科技安全,以及活躍的知識中心。這樣的分組,等於是讓各個金融業者,都能夠更聚焦在一些面向。舉例來說,網路安全練習的工作小組有80個成員加入,每次規畫不同情境來練習,參與成員可以將成果帶回自己所屬單位。
此外,由於日本腹地不小,在一些偏遠的地方,他們也會舉辦地區性的活動,來幫助提升相關意識。
特別的是,他們還推出一個名為Cyber Quest的練習活動,這是為期兩天的活動,且是力求逼真的演練,要求法治單位與金融機構都能夠參與。而演練的內容,都是金融機構成員自己策畫,以達教育內部員工的目的。
鎌田敬介進一步說明,這個逼真的模擬演練,就是將實際攻擊牽涉到的所有人員都納入。舉例來說,從發現網站被攻擊,到聯繫技術部門,以及如何應變,不論是組織相互之間的溝通,回報資訊安全長、準備新聞草稿發布,甚至是召開記者會道歉等,都讓流程如實進行一遍。對於各個角色的人員來說,一旦發生資安事件時,就能更具體認知本身該負責的工作。
金融領域面臨資安的觀念要先建立
關於金融領域面對資安的觀念,鎌田敬介先從金融領域常見攻擊型態談起,包括DDoS、安全性弱點被濫用、APT與網釣攻擊、帳號劫持、惡意程式、網頁竄改、勒索軟體、金融木馬。如果是用戶不熟資安,他也建議,至少先要對這些攻擊型態有所認識。
以網路攻擊對企業商業損害來看,簡單來說,就是資訊外洩,以及造成線上服務或營運的中斷。
至於該如何看待網路攻擊所帶來的風險?鎌田敬介表示,需要知道駭客攻擊金融的背景與原因,他並以六種類型來說明,包括出於技術與樂趣、議題運動者、有金錢利益驅使,還有像是國家單位的攻擊、網路大戰等,此外,他也特別提到年輕一代可輕易下載工具而實現攻擊,並將其視為單獨一種類型。
他強調,資安風險不單單只是IT部門的問題,將影響到各個層面,不論是財務、人資、法務等,這也就是為何要高層負責人來認識資安,因為才能通盤考量,也能促使更多資源投入。
此外,在實務上,更要重是的是找到安全跟風險的平衡點,這一點也必須要有體認才行。
要做好網路安全,鎌田敬介提到了五個重要關鍵,包括使用最佳實作規範與標準、風險管理、危機管理、資安事件應變,最後一項則結合了合作、資訊收集與情報。
而在這五個關鍵點中,各自都有需要相關的注意面向。從最佳實作規範的5個基本要素來看,包括識別、保護、偵測、應變與復原,其中,傳統IT管理因應的是保護與偵測,SOC與CSIRT則是因應偵測與應變,當然危機管理也牽扯到應變與復原,而風險管理也要注意身分識別與認證這一部份。
在風險管理上,要能知道做好資產盤點、風險評估、威脅評定,並要能對不預期的風險回應,建立策略性的觀點,以及導入標準與框架。並要能辨識風險是什麼?為何發生?知道如何做出最好的回應,以及快速恢復到先前的狀態。
這當中他也提到一些需要注意的概念,舉例來說,要從一開始就要想到對於駭客想取得的東西,該如何提前強化防範措施,而不是遇害後,才去想怎麼偵測與保護;一旦發生傷害,應變上也需要依照風險管理的標準流程進行;防護上也要有一套標準作法,來因應所有的威脅,而不是只針對APT、DDoS的單一攻擊型態來防範。他並指出,這些因應還要有良好的內部溝通來配合,如果內部沒有做好往上呈報的工作,可能帶來無法看清整個事件的問題,甚至可能從小問題而變得更加惡化。
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02