台新金控資訊長暨資安長孫一仕。(資料照/攝影洪政偉)

台新金控資訊長暨資安長孫一仕近期在資策會產業情報研究所(MIC)舉辦的線上研討會,分享銀行資安轉型的策略思維。除了就金融機構目前面臨的資安攻擊威脅,乃至在雲端應用、企業物聯網等也可能出現的資安風險進行說明,同時,也提出了金融機構如何有效因應資安風險的相關建議。

孫一仕指出,金融機構一直是駭客經常攻擊的目標之一,所面臨的資安威脅從來沒有停止過。而駭客持續會以熱門議題進行攻擊,像最近是使用COVID-19疫情爆發當主旨,誘騙金融機構人員開啟電子郵件,甚至點擊附件檔,對金融機構來產生出可能的資安威脅。

另一方面,他提到,可以看到攻擊轉為國家級駭客威脅,根據F-ISAC情資分析,國家級團隊駭客以鎖定SWIFT、ATM系統攻擊威脅增加,且攻擊手法更多樣,可能用的資源也非常多,因此,這樣國家級的攻擊對金融業的威脅是日益增加。

孫一仕更觀察到,今年勒索病毒攻擊持續增加,其中有很多是詐騙勒索郵件,作法上,駭客會寄出郵件給企業,聲稱已盜取企業資料,要求企業以比特幣支付贖金,但事實上,企業本身並沒有被入侵。他提到,不少家金融機構收到這樣的詐騙勒索郵件,要花蠻多心力確定自家資料沒有外洩出去。此外,近期臺灣大型企業遭受駭客攻擊,以勒索病毒方式鎖定特定檔案,使這些企業部分業務也曾經停擺過一天以上。

同時,勒索病毒入侵手法變化翻新,透過郵件、網頁、VPN等管道入侵AD網域控制器,孫一仕解釋,AD是企業控制所有員工帳號、密碼的系統,一旦駭客攻進AD網域控制伺服器,就很容易取得高權限,在企業內部電腦大量散播病毒。

他更進一步提到,雲端應用其實是金融機構最薄弱的環節。即便,雲端運算是目前金融機構關注的科技焦點,許多金融機構希望藉由雲端運算,達到成本減降以及營運彈性這兩個目的。然而,伴隨而來的資安風險,也是金融機構評估運用雲端運算不能或缺的,孫一仕強調。

像是美國銀行Capital One Bank因為發生遭駭客盜取其存放在AWS雲端的資料,該名駭客不僅入侵Capital One Bank在雲端上的資料庫,還駭進其他30幾家組織,甚至利用AWS運算能力來進行比特幣挖礦。

孫一仕提到,嚴格來說,這起資安事件並不直接與Capital One Bank有關,但是銀行人士會對該銀行造成信譽上的損失,畢竟對客戶來說,這家銀行的資料就是被盜取過。這也凸顯了銀行在使用雲端運算服務時,對於服務機構要定期查核。他建議,雲端應用後續應用會越來越多,銀行也需在這環節多花些心思。

另一個值得關注的是物聯網(IoT),孫一仕強調,企業物聯網也變成金融機構所要面臨的挑戰之一,銀行其實有蠻多物聯網設備,比如在銀行分行ATM旁邊放的攝影設備,在運作上是隨時把拍下的影片回傳到銀行總部,而這個回傳中則會有網路連結,很可能成為資安風險。

他更提到,預估到了2020年,全球應會有超過200億個IoT設備,但這些IoT設備最大的問題是,基本上沒有特定的安全框架或是法規來規範資訊安全所需注意的事項。此外,這些設備多數都屬於簡單的系統,且散布在很大的地理位置,以至於IoT設備供應商本身就缺乏定期做補丁程序與資源來解決資安漏洞的誘因與能力。

孫一仕提到,相對大規模應用IoT的企業來說,金融機構採用的IoT設備雖然較少,但現在就必須注意此類的資安風險。在作法上,他也建議,除了定期檢視相關設備的資安漏洞,同時,也需要以隔離網斷的方式,讓物聯網設備跟正式營運網路完全分離。

面對層出不窮、不斷演化的資安威脅,金融機構該如何因應?孫一仕表示,他們在看金融資安風險挑戰時,共分為「不可管」、「不可控」、「不可見」這三大類。「不可管」意即無法管駭客的攻擊,像是社交工程、釣魚郵件,因應之道是強化銀行員工資安意識,不讓駭客有機可乘。

「不可控」比如Zero Day漏洞及攻擊,大多是因為金融機構所使用的系統軟體,由於系統軟體商在開發時可能存在一些資安風險,對於金融機構是不可控的,因為系統並非銀行自行開發,因應之道是加強內部防禦,只要系統廠商有需要修補的補丁出現時,銀行就要儘早把資安漏洞補上。

而「不可見」是指金融機構內在潛藏的風險,並沒有被發現,孫一仕提到,這類資安風險是最難被發覺的,金融機構只能不斷強化各種資安機制,當攻擊進來時可以確保它不會出去,或是當發生時,監控機制可以及早阻擋或是控制損失。同時,也要導入數位建置來確保發生時要如何控制損失,並了解資安問題出在哪。

因應資安風險,建議金融機構可分三步驟進行

為了因應潛藏的資安風險,孫一仕建議,金融機構可分為三大步驟進行,一是了解風險,藉由各項資安演練與檢測,了解企業資安風險與弱點;二是面對風險,藉由風險成因分析,建置企業完整資安防護體系;第三步驟則是因應風險,透過資訊中心即時預警,縮短人工監控的時間差。

他進一步解釋,金融機構要採取的第一步驟是了解風險,採取紅藍軍演練、ATM攻防演練、滲透測試、APT進階持續性威脅演練、DDoS分散式阻斷服務攻擊演練等。

在面對風險部分,則要有完整的資安防護體系。孫一仕提到,當資安威脅發生時,金融機構可能會產生辨識、防護、偵測、回應與復原等不同階段;在防範資安風險的環節,則有使用者、資料、網路、應用程式與設備。而在不同階段應用到科技與人力的比重也不一樣,比如需要藉由科技工具來辨識相關可能出現的資安風險;但到了回應、復原階段,人員是否具備回應與處理資安風險出現的能力,就變得相當重要。然而,他強調,不管是在哪個階段,金融機構本身都要具備好處理流程。

然而,威脅發生後,能否快速回應變得相當重要。孫一仕表示,金融機構需建置快速的因應機制,其中一個是成立CSIRT資安緊急應變小組,他認爲,資安緊急應變小組成員不應該只有IT部門,涵蓋層面是非常多,甚至對外關係的部門都要進來,每位成員都要了解威脅發生時各自的分工,才能各司其職,妥善因應。

下一步,要訂定各項資安應變程序,當資安事件發生時要有一套SOP,來規範資安緊急應變小組成員的分工,才不會在面對資安威脅時無所適從,更重要的是資安應變程序需要定期檢視,以符合實際需要,不是做完一次就結束。

再來,得定期安排資安災害緊急應變演練,主要目的是檢視手邊的資安程序是否需要修正,同時,也要讓資安緊急應變小組成員能夠熟悉流程。最後,是要建立一個資安監控中心,能從多面向監控資安的威脅,要能夠很快反應現況,讓應變小組提早因應、降低損失,這也是機制面金融機構需要在應變所需做的努力。

「資安威脅不會消失,只有萬全的準備才能避免災害的發生。」孫一仕這麼認為。文⊙李靜宜


Advertisement

更多 iThome相關內容