【臺灣資安大會直擊】中信銀首揭金融資安韌性三大對策：建立縱深防禦工程、落實穿透測試、確認資安作業有效性

「資安韌性，是讓敵人攻不破。即使攻破也打不穿，打穿也可以立即復原。」中國信託銀行資安長吳佑文在今年臺灣資安大會上表示，他們過去幾年在建立資安韌性上投入許多心力，而在金融資安論壇中，中信銀首次對外公開自家的資安韌性對策，包括建立縱深防禦工程、落實穿透（walk through testing）測試、確認資安作業有效性等策略。

企業即便做好基本的資安措施，仍需要面對防護面必定有缺口的事實，「這是我們第一個會面臨的挑戰。」吳佑文說道。面對這項挑戰，中信銀的策略是建立縱深防禦工程，根據MITRE ATT&CK TTP手法來設置防禦對策。例如，針對社交工程攻擊，設置電子郵件的資安機制。

不過，即便設置了縱深防禦工程，這些機制還是有極大機率不如預期般發揮功效。吳佑文透露，他們內部設置的防禦機制，幾乎每一項都曾被偵測到程度不一的有效性問題，甚至有完全失效的狀況。「這就是我們面臨的第二個挑戰。」他說。

針對第二項挑戰，中信銀的對策是落實穿透測試，驗證每項資安控制措施的有效性。例如，針對檔案監控機制，中信銀的測試方法是放置無關檔案至受測伺服器，並預期系統偵測到異常檔案時需告警，且相關人員得在時效內處理問題。

中信銀第三項資安韌性對策，是確認資安作業有效性。「必須盤點關鍵資安作業，設計如何驗證作業有效性。」吳佑文說明，他們的作法有三步驟，第一步是盤點關鍵資安作業，依據作業重要性及驗證可行性等條件，來排序優先驗證項目。再來是分析資安控制的有效性要件，最後則是設計有效性的驗證機制，並設計監控KPI，每月定期追蹤，確保資安作業被落實。

以對外系統弱點掃描作業為例，有效性要件包括掃描範圍完整性、弱點特徵碼正確更新，弱點掃描設定妥適、弱點掃瞄作業正常完成，接著再針對每一項要件設定檢核做法，並設計KPI指標。

吳佑文表示，這些措施完成後，可因應約99%的攻擊事件，但仍有1%的極端情境無法靠既有控制措施防範。「金融零信任指引會是我們的救生符，可以應付未知的攻擊手法。」他說，面對極端情境網攻，除了根據零信任指引來應對，也需規畫極端情境應變計畫。「只有做到這個程度，才能實現所謂的金融韌性。」