【臺灣資安大會直擊】富邦建立金控層級CSIRT，定義4大類情資，建置多種偵測與應變資安分析防禦系統來應對

「資安的應變要有速度，才不會白白挨打。」這是警界出身的富邦金控資安長蘇清偉，對於資安應變的體悟。

富邦金控建立了金控層級的電腦資安事件應變小組（Computer Security Incident Response Team，CSIRT），小組成員囊括金控旗下銀行、人壽、產險、證券、行銷、投信等子公司的資安主管。蘇清偉強調：「必須將金控底下各子公司的資安主管拉進小組，才能調度所有資源，來因應資安事件的發生。」

富邦金控內部有一套CSIRT運作與管理制度。平時，每兩個禮拜會定期召開例會來維運CSIRT，並討論及分享資安相關工作議題，報告資安事件查處結果，以及追蹤重大弱點與威脅情資分析與因應。

另外，這個CSIRT小組也會定期審視各項資安防護系統報告，且檢討資安事件及紀錄分析結果，強化及改善防護機制有效性。蘇清偉透露，更利用企業即時通訊軟體，組成應變小組通報及討論群組，即時掌握與討論資安事件，以及分享相關外部資安攻擊事件或情資。

蘇清偉表示，當各子公司發生資安事件後，必須通知金控，並由金控資安長擔任總指揮官，透過CSIRT的機制，掌握事件處理進度，協調及調度集團資源，以降低衝擊影響；此外，金控CSIRT的另一功能，是分享事件情資給旗下各公司，進行整體聯防。

至於事件發生公司，則要依照相關管理辦法及作業程序，判斷事件等級，通報相關單位。其餘子公司則要檢視有無類似情形，依照相關情資進行分析及因應，並管理督導底下子公司及海外營業據點。

富邦金控CSIRT將情資分為4大類別，每類別各有對應情資分析與因應措施

蘇清偉提到，富邦金控的情資來源，包括資安組織如金融資安資訊分享與分析中心、臺灣電腦網路危機處理暨協調中心等各類ISAC，以及系統設備廠商、資安廠商。富邦金控更進一步將情資分為4大類別：入侵威脅指標（IoCs）、弱點漏洞、攻擊手法、外洩資訊，每項類別則有各自的情資分析與因應措施。

像是取得入侵威脅指標的情資後，富邦金控會分析是否有遭受類似探測或攻擊，比如網路連線情形、上網行為、可疑郵件、病毒及惡意程式活動。因應措施則是檢視及強化資安設備偵測、攔阻防護機制，例如更新病毒碼或攔阻模式（pattern），擴充黑名單、強化設定等。

而針對弱點漏洞的情資，富邦也會回頭用來評估自家系統及設備是否受弱點影響，並規畫安全性更新時程、緩解措施、驗證更新與防禦有效性。

若是攻擊手法的情資類別，富邦金控則會分析研究攻擊手法相關的技術與流程，並檢視現有防禦機制是否足夠。因應措施則是強化與導入安全防護機制，辦理相關應變及復原演練。

而收到外洩資訊類別時，則會先研判資料正確性，以及可能外洩的管道。在因應措施上，則會通知如顧客、員工等資料擁有者，加強宣導與教育訓練，甚至也要預防如撞庫攻擊、商業變臉詐騙等。

此外，蘇清偉表示，富邦金控還建置了偵測與應變相關資安分析防禦系統，包括透過資訊安全事件管理平臺（SIEM），來蒐集各項系統設備日誌、制定關聯規則即時告警，定期產出報表，交由資安人員分析與處理資安事件。

富邦金控還建置了APT偵測及防護（EDR）系統，透過網路連線分析、惡意程式檢測、端點偵測回應等，自動化分析可疑APT攻擊活動，甚至還運用了AI技術自動產生事件調查報告。

在外部資安風險管理系統，則以非侵入式方式蒐集數位足跡，檢視對外服務相關安全設定，分析及提供對外暴露的資安風險弱點。

此外，富邦金控也建構了偽冒App及釣魚網站偵測服務，用來即時偵測有無偽冒各公司App、網站或冒用公司名義架設的詐騙或釣魚網站，以及偵測相似的網域名稱。文⊙李靜宜