國泰金控副總經理林佩靜表示,威脅與攻擊一定會永遠存在,企業的資安主管必須與經營者溝通與傳遞這項事實。

圖片來源: 

iThome

早在2018年,國泰金融集團旗下多家子公司與海外子公司,便設立了各自的資安專責團隊,但遵循集團一致性的資安政策。隔年,集團資安重點是先提升各子公司防禦能力;到了2020年,再成立集團資安監控中心(SOC),7X24小時監控集團資安狀態。從今年開始到明年,國泰金融集團最新資安重點則是韌性(Resilience)。

國泰金控副總經理林佩靜對外揭露自家集團如何由上而下推動資安,以及國泰對資安威脅的觀察。她表示,這一兩年間,特別是疫情發生以後,金融業的資安威脅層出不窮,且攻擊手法日新月異,國泰則觀察到5大資安威脅,包括遠距工作、BEC詐騙、供應鏈安全、雲端安全、物聯網(IoT)。

她解釋,因為疫情關係,企業需啟動遠距工作連線,增加了未授權存取及外部入侵等風險,這是資安威脅之一;另一威脅則是BEC電子郵件詐騙攻擊。加上,現今所有金融業都在大力推動數位轉型,比如導入新興科技或提供顧客更多的遠端服務,連帶顧客與金融業的互動方式因而改變,使得企業面臨的資安威脅也越來越大。

不管是員工工作模式的改變,還是顧客與企業互動模式的改變,林佩靜強調:「這些都讓金融業的邊界越趨模糊,企業資安負責人員的防守線,也越變越長。」。即便是金融業如此高度防護的產業,仍要有「威脅與攻擊一定會永遠存在且發生」的思維,企業資安主管更必須向經營者溝通與傳遞這項事實。

「資安主管的第一件事,就是訂定企業資安目標。」不過,她認為,有別於企業訂定業績目標時,通常是高目標、高挑戰。但,「資安的目標訂定,需務實且可達成」,可達成的意思是,如果一定會發生資安事件,企業所要追求的是什麼?希望不影響營運?或是,一旦影響營運要多久時間能夠恢復?林佩靜提醒,不單只是文字上的目標,更重要的是要將量化的KPI,包括營運中斷的時間、資料回復的時間等都要明訂清楚。

「訂出一個企業可達成的資安目標,代表資安主管與經營者的承諾,也是經營者對資安主管的支持,以及這家企業願意容忍與可接受的風險,究竟到何種程度。」這是一大重點,她強調。

有了資安目標之後,下一步,資安主管就能針對企業現況,以及想要達成的目標,在這兩者間,評估自家資安防護的強處和弱點。能與不能之處,都需要一併盤點。如此一來,企業資安主管就會知道該如何訂定資安策略。林佩靜表示:「必須要有系統性的思考,來訂定資安目標與策略。」

系統面思維是集團資安聯防,更要做到主動防禦

在金融業,可從系統、應用、人員3大面向的策略來看資安。首先,林佩靜提到,國泰在系統面的思維是「資安聯防」,集團旗下子公司採用一致性的資安政策,包括了系統架構,所採購的工具,以及工具背後的設定與檢核,都是一致。「目的是做到資安標準與防護水準一致,甚至,能做到主動的防禦。」她強調。

為了達到一致性的資安政策,企業必須設有一個資安框架。她解釋,所謂的資安框架,是指企業需有一套資安防護機制的基準,以及有一致性的標準可供遵循與管控,比如導入ISO 27001,或用MITRE ATT&CK來思考企業的防禦。林佩靜再次強調:「企業必須找到一套邏輯或方法論,來思考最基本系統面的防禦框架或防護地圖。」然而,這只是第一個起點。

訂定出資安框架後,企業更重要的是實行PDCA循環,林佩靜認為:「PDCA雖老套,卻是國泰確保整體資安防護有效性的心法。」尤其是在檢核(Check)環節特別重要,她舉例,國泰金融集團從基本的資安健檢到紅隊演練都實施,像是人壽與銀行已連續做了3年的紅隊演練,現在,包括產險、投信子公司也全面執行,目的就是要確保資安防護的有效性。此外,包括DDoS攻擊、ATM入侵等情境演練,企業都要不斷檢視。「資安不是一個買產品的過程,而是得確保整體機制與運作有效。」這是國泰由內而外,檢視自身資安到位程度的作法。

另一方面,企業也可建置SOC,由外而內來檢視自家資安框架與防護的有效性,是否禁得起所有的資安風險。林佩靜表示,國泰委外建置了SOC,在2020年底正式運作,以監控集團資安狀態,掌握資安風險。她個人認為,委外建置有2大好處,其中一個重要價值是,因為資安態勢動態變化,而且攻擊手法日新月異,例如現在國泰的集團SOC設有一百多條監控規則,但還會隨著外面的攻擊手法持續更新,讓國泰的防禦能更加即時,更希望能做到主動預警。

另一項好處是,國泰的資安人員每日會監看風險通報的狀況,也會針對每則事件進行回報與確認,林佩靖認為,這也能在無形中培養資安人才,及提升他們對資安攻擊事件的敏感度。

除了系統面的策略,企業還需關注人員面的策略。不管是員工或顧客,在這數位當道的時代,國泰認為,都需要落實必要的確認機制,才能存取金融業的服務。「目的是建立所有關係人的資安意識與資安文化,做到全民資安。」

像是近來因疫情,許多企業啟動居家上班的作法,林佩靜表示,這時正是重新檢視所有員工工作方式的好時機,包括員工工作時所使用的裝置,裝置存取的方式,以及溝通聯繫,協同合作與檔案交換等。長時間下來,便會在組織內埋下養成資安意識與文化的思維與習慣,她更認為:「即便經營者多麼支持資安投資,仍有它的極限,整體員工資安意識與文化的養成,才是防護的關鍵。」

在資安人才部分,國泰也有一套「反求諸己」的思維,林佩靜拋出一個問題,資工資管領域的職場新鮮人,為何要選擇進入金融業?她坦言,企業需有整體資安目標或策略,目的是讓資安人才知道,個人目標與企業組織目標匹配。此外,也要培育人才在金融業的領域知識,以及資安的專業技術,並且在信任的前提下培養團隊,讓人才感受到加入該企業後能夠有所成長。她呼籲金融業的資安主管:「設立資安人才的職涯路徑是重要議題,需要再用心好好思考。」

在顧客部分,隨著轉型的服務模式到裝置的提供越來越多,國泰在思考的是,如何在兼顧客戶體驗之下,與顧客互動的方式如App或簡訊,到金融業與顧客進行核身的方式,都能再增加更多確認機制,比如導入多因子認證,建立安全性提問,或像是重要交易強制採用生物辨識等。林佩靜認為,這是所有企業都要高度關注的議題。

從業務角度思考資安如何設計,更要關注供應商與雲端安全

國泰在應用面策略則採取「設計預設資安(Security by Design)」原則,不只是資安管控、資安查核,尤其是企業在數位轉型的過程中,林佩靜表示,更應該從業務角度思考資安如何設計在新的轉型專案中,目的是要有預防勝於治療的概念,在所有服務或商業模式設計之初,就將安全考慮進去。

因應數位轉型,不只軟體或程式得在一開始就安全開發,更重要的是,企業導入許多新興科技發展創新的服務模式或商業模式,比方說跨業合作。除了軟體開發外,還會牽涉到流程、資料流、資料的儲存管理等,都得基於安全來設計。她提到,國泰作法是每個專案開始,資安人員就加入討論服務模式與商業模式的創新,好處是資安人員能站在業務端立場進行安全設計,也會讓企劃人員理解資安人員關心的議題,進一步培養人員的資安意識與文化。

除了App、API這兩項已有檢核標準或法遵規範之外,林佩靜更提到,國泰正在關注多項資安應用議題,包括供應商、雲端、資料、開源軟體。

像是供應商資安,她提醒,企業與供應商合作時,可從前、中、後三階段來評估,前期可進行風險評估、遴選合格廠商、技術評選;中期則要設立開發標準、資料加密、查核;後期則需落實上線前的檢核,並要求供應商抹除資料與移除權限,或實地查核等,「得將這樣的制度都建立。」

另一項雲端安全議題,林佩靜預期,金融業完成數位轉型後,會開始走向雲端發展,不管是使用雲端服務,或有上雲計畫。不過,她坦言,雲端安全的議題範圍非常大,甚至與地端系統面的管理全然不同,從存取控制、金鑰管理、資料保密、組態管理、持續監控等。因此,她強烈建議:「不管企業是否打算往雲端發展,資安主管現在可以開始思考與培養具備雲端安全的資安人員。」文⊙李靜宜


熱門新聞

Advertisement