「資安的改變從被動變主動,從單點控制變價值驅動。」金管會副主委邱淑貞5月16日在臺灣資安大會金融安全論壇開場時表示,資安過去僅針對個別事件進行處理和回復,隨著金融業大力運用數位化發展業務,資安現在和業務風控結合,成為驅動業務發展的關鍵,也是金融機構前進的重要動力。

為了推動金融機構發展資安,金管會在2020年發布金融資安行動方案1.0,兩年後接著發布2.0版,延續1.0版四大策略,增加了14項精進措施,從鼓勵金融機構擁抱零信任架構,強化核心資料保全、舉辦資安長聯繫會議強化,推動重大資安事件的支援演訓等。

如今,2.0版發布已過一年半,金管會資訊服務處處長林裕泰在論壇中強調,零信任架構和資安聯防是金管會力推的兩大面向。

金管會資訊服務處處長林裕泰也出席2024臺灣資安大會的金融資安論壇,他表示,零信任架構和資安聯防是金管會正在努力推動的面向。

提供導入零信任架構的三項步驟

林裕泰表示,近期,金管會密集和金融機構舉辦研討會,期望在龐大的架構下,找到推動零信任架構的共識。他認為,金融機構需要導入零信任架構原因有二,第一,業者無法確保外網十分安全,一旦資安有缺口,攻擊者一定會進入內網,第二,企業邊界越來越模糊,有許多遠端辦公的員工,業者難以控管場域外人員及設備安全。因此,金融機構需要從零信任架構重新檢視資安政策,例如,嘗試縮小攻擊表面、限縮損害的衝擊,最終讓內網的防護和外網同樣安全。

針對金融機構如何實際導入零信任架構,林裕泰建議可以採取三項步驟,首先,是將資源用在刀口上,選定優先的保護標的,例如,高權限使用者帳號、重要系統的外部使用者、委外廠商的遠端維運管理等高風險場域,「先把實施範圍縮小,才能讓資源被高度使用。」

接下來,林裕泰強調,「零信任最需保護的是資源,而不是入口。」零信任架構的重點,是在內網設立重重防護,抵擋駭客存取相關資源,所以,林裕泰建議業者應盤點資源存取途徑,查看從身份、設備、網路、應用程式到資料中的脆弱點,以零信任思維逐步提升安全性。例如,在身分、設備和網路設立多一層防護機制,並且進行適當的分割,縮小攻擊表面。

金管會資訊服務處處長林裕泰建議,業者在導入零信任架構時,應盤點資源存取路徑,以零信任思維強化防護機制。例如,在帳號登入時一律採取雙因子認證,在身分驗證上增加多一層防護。

最後,是要能整合並分析事件日誌,再結合威脅情資,形成信任推斷機制。後續進一步發展自動協作機制,以動態監控支援信任推斷。「我們期待金融機構推動零信任架構的過程中,不是一步到位,而是類似美國CISA發布的零信任承受模型,從傳統、初始、進階再到最佳化,逐步精進的方式去實施。」林裕泰表示,未來,金管會將會根據這三項步驟,提供金融機構導入零信任架構的參考指引,待業界發展出實務案例後,再逐步發展成資安相關規範。

重視資安聯防中的動態情資分享

除了零信任架構,金管會也十分關注資安聯防的運作效能。林裕泰表示,去年F-ISAC(金融資安資訊分享及分析中心)提供的情資分享資訊中,76%的資訊來自金融機構會員,目前這個比例也穩定超過75%,「顯示F-ISAC和金融機構之間已建立了雙向互信的管道。」

此外,金管會在今年開始調整會員分享資安情資的獎勵措施,除了靜態情資分享,也將動態情資分享納入評分標準,鼓勵業者分享更多類型的資安情報。除了針對地端的資安防護,林裕泰也表示,金管會正在關注雲端上的攻擊行為,評估現有的資安聯防機制是否能擴展至雲端上的資安防護。

回顧金管會推動資安行動方案的過程,林裕泰表示,過去三年來,金管會和各相關單位嘗試將許多看似不相關的事物慢慢拼湊成完整的方案,「我們現在正在把零信任、資安防護監控有效性評估、資安情資分享和資安聯防的運作拼湊起來,整合所有相關資源,使整個推動更有脈絡。」

熱門新聞

Advertisement