
台新銀行是臺灣第一家以銀行名義(TSB-CSIRT)加入FIRST國際資安組織的銀行業者,這象徵著,台新銀行資安事件應變能力獲得國際承認,也成為全球資安信任與情報共享網路的一份子。
洪政偉攝
在全球網路威脅日益嚴峻、攻擊手法不斷翻新的今日,資安聯防已從「選擇」走向「必要」。在法規遵循與資安事件頻傳的雙重驅動下,臺灣金融業正積極強化資安防護能力。其中,台新銀行於 2024 年 11 月下旬正式宣布加入國際資安事件應變小組論壇(Forum of Incident Response and Security Teams,FIRST),成為臺灣首家、也是迄今唯一一家,加入此一全球最大資安事件應變與協作組織的銀行業者。這不僅為臺灣金融資安聯防樹立了全新的里程碑,更展現台新銀行致力提供客戶更安全、便捷且可信任的數位金融服務的堅定決心。
實際上,不少國際銀行已經直接以銀行或金融機構的CSIRT(Computer Security Incident Response Team,資安事件應變團隊)團隊身分,成為FIRST(國際資安事件應變小組論壇)的會員,成員構成多元,涵蓋全球頂尖金融機構。
大家耳熟能詳的銀行業者,包括:美國銀行(Bank of America)、新加坡星展銀行(DBS Bank)及歐洲中央銀行(European Central Bank)等,都是直接以銀行的CSIRT名義,加入FIRST國際資安組織。
台新銀行也加入臺灣金融業者自發組成的F-ISAC(金融業資安情資共享與分析中心),台新銀行資安長陳詰昌表示,選擇另外以台新銀行TSB-CSIRT的名義加入FIRST,除了代表該銀行的資安事件應變能力獲得國際承認,該公司也成為全球資安信任與情報共享網路的一份子,他認為,台新銀行加入FIRST的作為,除了具有戰略價值外,也同時面臨組織與資源上的挑戰。
可以肯定的是,FIRST強調合作快速應變,同時促進資安事件預防及成員間情資共享協作,台新銀行CSIRT團隊從無到有,從紙上組織到實戰應變的發展歷程,以及加入FIRST後所面臨的挑戰,都將對未來臺灣金融資安生態帶來新的挑戰。
從合規到實戰,台新銀行CSIRT的轉型之路
台新銀行的資安事件應變團隊(CSIRT,也稱IR Team)的成立並非一蹴可幾,陳詰昌指出,該團隊約在2020年9月左右,已具備形式上的組織架構,但真正開始發揮功能,是在他上任之後。「在此之前,團隊可能更偏向『形式上面』的存在,直到後來才比較有在演練和培養人才。」他說。
台新銀行資訊安全部資深協理劉俊良補充說明,CSIRT團隊成立的初衷,是受到業界震撼的一銀和遠銀等資安事件啟發。儘管這些事件發生已久,但金融單位陸續仍有各種資安事件,因此,劉俊良表示,成立CSIRT的核心思考點在於:「如果台新銀行也發生同樣的資安事件時,我們是不是有這個能量跟資源去處理這件事件?」。
CSIRT團隊在成立初期,台新銀行採取自行摸索的方式,去打造屬於自家的CSIRT,當然也參考其他金融單位的組織和內容。劉俊良解釋,當時CSIRT團隊的性質是一個虛擬組織(Virtual Team),其成員組成是「跨部門」組成的。
陳詰昌進一步指出,除了主要的IT和資安部門成員外,還有其他部門的人參與這個跨部門的虛擬組織,例如公關、保險、總務,以及風管、法務和稽核等。
他特別強調,團隊的實際成員數量和涵蓋範圍,其實會依據「資安事件本身的性質和發展重要性來決定」。例如,如果事件不涉及外部單位或客戶,公關部門可能就不需要「啟動」,但可能需要被通知。
從紙上組織到實際維運,提供資源和角色釐清
陳詰昌指出,台新銀行CSIRT團隊的成立,從原本的紙上組織──只有組織規章,到後來實際運作──還提供工具,這是個逐漸成熟的演變過程,有賴公司願意提供足夠的資源,也讓同仁可以在過程中摸索並釐清角色。
台新銀行對CSIRT團隊的投入,體現在多個面向。陳詰昌提到,首先是文件的檢視,第一步就是:規章要出來,這樣同仁才知道「哪些時候他要做些什麼事情」。
其次是「組織」,發生資安事件時,「誰要當責」,也就是誰是負責這個事件後續處理的中心負責人,「這個組織架構要出來。」他說。
「公司最重要的資源投入之一,就是人員的教育訓練」,他強調,台新銀行其實安排了許多「藍隊」的教育訓練,並邀請許多外部專家,為包括所有子公司在內的同仁進行教育訓練,教導他們一旦遇到資安事件時,「第一時間要做什麼、該做什麼,有什麼工具可以提供協助」。
陳詰昌特別強調「第一線處理人員」的角色定位。他指出,銀行或外部顧問常傾向於「聚焦在數位鑑識」,這不是說不該做,但是,他認為,「數位鑑識不是內部資安團隊的第一要務」。
他進一步解釋,第一線人員應該聚焦於第一時間的應變,例如,重要證據的蒐集,因為,有證據你才能夠去把事件做重建;而事件重建的目的,就是要找出資安事件發生的根因,然後能夠徹底的解決。
在處理資安事件時,判斷事態是否嚴重到可能進入司法程序「很重要」,他表示,如果要上到法庭,那麼「證據保全就必須優先」;然而,絕大多數的資安事件,它不見得是一定要進到司法程序,這時候可能會以「維運優先」,也就是「讓客戶的服務權益不受影響」作為優先選擇。
陳詰昌坦言,這個部分很依賴經驗,資安事件應變(IR),其實很仰賴現場處理的資安鑑識專家的經驗,才能夠判斷到底要怎麼樣下決策,到底要往哪一條路走是對公司最好。
他也觀察到,多數公司內部資安同仁處理資安事件的經驗不夠多,或是事前訓練和準備不足,導致同仁在遇到資安事件時「可能會慌」甚至「下錯判斷」。為了解決這個問題,陳詰昌強調「要給工具」。他表示,公司應該給第一線同仁「可以無腦的、直覺式使用的腳本工具(Script)」;執行腳本程式後,就可以先幫公司初步收集重要的證據(Evidence);至於更困難的深入分析,則可交由專業資安專家協助。
從建立韌性思維,看CSIRT團隊應變能力的迭代進化
在建立和運作CSIRT團隊的過程中,台新銀行確實遇到了不少挑戰。陳詰昌表示,首先是「觀念的不一致」,因為大家對於資安事件應變(IR)的認知不同,即使成立了團隊,對於團隊「到底要做什麼」、「團隊成員的角色」、「要做哪一些事情」,以及這個團隊「希望為公司帶來什麼樣的效益」,可能存在認知的落差;尤其是,資安投資效益難以量化,高層不清楚為什麼要做這件事,是另一大挑戰。
陳詰昌觀察到,過去大家長期以來都把重點擺在前端,也就是「不要讓駭客進來」;然而,現在的趨勢顯示,要阻擋駭客入侵,已經變成「不太容易達成的事情」。因為,攻守雙方是處於不對稱的狀態,駭客「只要找到一個弱點,就可以進攻企業組織內部」。
他表示,台新銀行每年都做紅隊演練,從近幾年的演練結果也發現一些原本沒有注意到的弱點。這代表:台新銀行其實有很多潛在的弱點還沒有被發現。因此,台新銀行必須調整思維,將重點轉向「一旦資安事件發生的時候,怎麼做到減輕損害,怎麼做到保持韌性(Resilience)」。
陳詰昌對「韌性」有獨特看法。他認為,韌性不是單純的維運持續,而是要假設「今天公司遇到一個沒有事先設想到的狀況時,該如何維持營運?」最常見的就是各種資安事件,這些往往出乎意料之外、沒有應變計畫的,在這種狀況下,陳詰昌會要求公司資安同仁去思考:「如何做最即時的判斷,才能達到將公司損害降到最小的處置作為」。
最大挑戰不在合規,而在讓CSIRT活過來
陳詰昌表示,CSIRT成立到實際運作的過程中,最大的挑戰是「怎麼把原本的紙上組織,變成實際可以維運和執行的活生生的組織」。台新銀行資訊安全部資深協理劉俊良則提到,金融業有時過於「合規」導向,雖然「你有手、有腳」(組織和文件規章),但「原則上不能動」。
台新銀行資訊安全部協理林世杰則補充,技術層面遇到的挑戰包括「人力、設備和經費」上的差距。陳詰昌坦言,他剛上任時,第一次參加銀行紅隊演練後,就明顯感受到衝擊,當時CSIRT團隊剛成立不久,同仁們還不太熟悉運作,不清楚各自角色定位,單靠成立組織和上課,「能量是不太足夠的」。
「講一百遍,不如自己遇到一遍」,有時候真的要親身體會過一次,才會知道那個痛,陳詰昌說道。他也強調,但這個「痛」,不能對個人或公司造成致命性影響才行。
為此,陳詰昌提出了更多元的演練想法。例如,演練時加入外部單位如調查局,或結合BAS(攻擊模擬系統,俗稱數位靶場)來「驗測台新銀行資安設備的有效性」。
他認為,台新銀行透過不斷完善演練場景和情境,讓CSIRT團隊的「雛形」日漸成熟,「透過各種資源投入,慢慢的增量、慢慢的迭代,CSIRT團隊就可以做得越來越好。」他說。
台新銀行成為臺灣第一家加入FIRST的銀行業者,為國際聯防奠基
陳詰昌表示,決定讓台新銀行CSIRT團隊申請加入FIRST,並非是一時興起。他觀察FIRST已久,早在公部門服務時就注意到該組織。來到台新銀行後,他觀察到臺灣陸續有越來越多的各類型企業加入FIRST,他認為,這可能受到外部環境因素影響,例如,現在的資安事件越來越多,每個人都沒辦法置身事外,必須要透過「聯防」來鞏固資安。
陳詰昌解釋,該公司基於三大核心效益,選擇申請加入FIRST國際資安組織,包括:擴大聯防、人才培育與品牌提升
台新銀行選擇加入FIRST的第一個原因就是:希望擴大聯防的範圍。陳詰昌強調,台新銀行已加入由國內金融業者聯合組成的F-ISAC(金融資安資訊分享與分析中心),F-ISAC也是FIRST國際資安組織的成員之一,但台新銀行選擇以TSB-CSIRT(台新銀行CSIRT團隊)的身分加入FIRST之後,目的就是希望則能夠藉此接觸更廣泛的國際資安情資。
「第二個主要原因是,期待同仁能多多參與國際組織」。陳詰昌回憶,過去在公部門有較多機會參與國際資安會議,如Black Hat、DEFCON或RSA等國際行的資安會議,但來到台新銀行後,則發現同仁很少參與國際會議。他認為,加入FIRST之後,至少有一個正式名目,藉由他們每年固定舉辦的年度會議,編列相關的預算,鼓勵同仁參加國際會議,讓同仁們「多去看看人家到底怎麼做、多交流」,了解其他參與會員因應資安的思維或趨勢發展等,可以趁機更新一下腦袋。
「第三個效益是提升品牌形象(branding)」,陳詰昌提到,台新銀行加入FIRST的新聞公開後,引起廣泛關注,不僅國內,可能國外也注意到「原來臺灣還有一家台新銀行」。
他表示,這對公司的商譽是正面的效果,同時也是品牌展現,可以幫助台新銀行「打一個免費的廣告」。他指出,資安也是現在ESG(環境、社會、公司治理)考量中的重要項目,ESG的一個共通關鍵點就是:「如何在事件發生後,能夠馬上復原,然後防止下次再發生類似的事情」。
陳詰昌認為,雖然ESG聽起來都是無形且難以具體量化的事情,但對於公司高層來講,這些都是有價值的事情。他強調,台新銀行透過通過ISO 27701、加入FIRST 資安國際組織等亮點,可以讓客戶知道台新銀行做了些什麼,間接提升客戶對公司的信心。
爆量情資帶來的量變與質變,成為主動思考有願景的資安專家
提及加入FIRST的過程,陳詰昌表示,一開始是由該公司資訊安全部副理葉雅妘於去年初進行相關調查,並尋求了外部協助,例如找了勤業眾信(Deloitte)協助輔導加入程序。
他認為,這個加入FIRST的過程,就是透過公正第三方來,幫忙台新銀行檢視內部資安成熟度達到什麼樣的水準,並提供哪邊可以再修正的建議,這對台新來說是「好事」。
加入FIRST後,最直接的「量變」就是「情資變多」了。陳詰昌笑說,每天跟情資有關的E-mail,收都收不完,但這是「應該早就預期到」的結果。
因應情資的「量變」,台新銀行也必須要有後續作為。他提到,台新銀行於2024 年開始導入SOAR(資安自動化應變)系統,目的就是希望將各種外部情資,做到能自動匯入情資分析系統;此外,ISO 27001改版後有個「危險情資」項目,剛好可以與此結合。
陳詰昌認為,接收到資安情資時,他延續以往當警察時的習慣,會「把每一個情資都視為是一個被害者」,也鼓勵同仁在處理這些情資的過程中,能夠多去看看、多了解情資可能是什麼狀況。
他認為,當資安同仁真的可以看懂這些情資所代表的意義時,就會「慢慢變得有感」,因為「你如果沒真的去看情資,對情資的變化,其實是沒感覺的」,就不會知道,原來情資的數量這麼多,其中,還有一些情資分享的內容中,會揭露一些「手法」或是「IOC(Indicators of Compromise)」等多元狀況。
至於海量情資對台新銀行帶來的「質變」和「效益」,陳詰昌希望,透過鼓勵資安同仁處理大量情資和整理這些情資的過程,有助於協助他們改善日常資安維運的流程,對於未來要進行的硬體或系統的投資,能有「更清晰的判斷」。
陳詰昌最大的期待是,不要每次都是長官要求資安同仁做什麼,他希望有一天資安同仁可以主動向他提報想做什麼。例如,同仁可以從綜合情資中發現:近期在端點設備(Endpoint)的風險更高一點,進而回過頭來,主動向長官建議資安部門最近應該投注心力,放在端點設備的防護上面。
他認為,資安同仁如果可以更主動討論這些事情,如「資安部門應該要做什麼」、「明年要做什麼、後年要做什麼」、「為什麼要這樣子做等等」,就代表他們已經開始有自己的思考,有想法也有能力,然後知道自己在做什麼。
陳詰昌用「三個泥瓦匠」的故事,比喻他對資安同仁的期待。這三個泥瓦匠對於他們的工作描繪,一個自認為只是在砌牆,一個說自己在做城堡,但還有一個表示自己在蓋一座城市。因此,他期待台新銀行的資安同仁們,未來都是有能力蓋城市的泥瓦匠,未來都是資安領域的專家。
在效益方面,除了對公司有信譽上的提升外,陳詰昌也回頭去看,「為了加入 FIRST這件事情,台新銀行做了什麼」,以及這件事情為同仁帶來什麼效益。
他再次強調,數位鑑識與第一時間應變(IR)角色和本質是不一樣的。他曾對五百多位子公司同仁進行線上授課時強調,「數位鑑識不是資安部門的首要任務」,更重要的是,「面對資安事件發生時,第一線的資安部門同仁,在第一時間應該如何應變?」
例如,要判斷是否是真的資安事件,之後應該如何應變,最立即的判斷就是:是否需要斷網,是否必須要蒐集證據準備上法庭,或是要做其他什麼動作因應等。「上述這些,才是第一線同仁所應該思考的工作內容。」陳詰昌說道。
他認為,就像紅隊有自己的工具一樣,台新銀行也應該有專屬自家資安部門使用的工具,關鍵在於:這是一個符合台新銀行內部環境的緊急救援工具。陳詰昌認為,有了工具之後,第一線同仁在資安事件發生時,才能「知道怎麼應變」。
導入CDM量化資安效益,資安人才培育:從「保護公司」到「保護個人」
儘管資安投資的重要性無庸置疑,但其效益衡量一直是個難題。陳詰昌資安長坦言,資安的投資和績效「還是很難具體衡量」。然而,他堅信,「你不做,就是零;你做了,分數就會慢慢提升」。
為了更有效地衡量資安投資效益,台新正在嘗試導入「Cyber Defense Matrix(CDM)」的概念。台新銀行資安部副理葉雅妘解釋說,這個CDM其實就是一個5乘5的矩陣,橫軸分別是NIST CSF 的五大類別:識別、保護、偵測、回應、復原,並且加入了以資產類別畫分的縱軸:設備(Devices)、應用程式(Application)、網路(Network),資料(Data)與人員(User)。
葉雅妘表示,這是一種「以成果為導向」的衡量方式,透過衡量「各個面向的指標」。例如,在人員方面,可以評估實施教育訓練或社交工程演練後,同仁的資安意識是否能有效提升,她說:「他們會先去做這個評比,然後可能以每季或每年來檢視。」
又如,針對電腦中毒事件,則會去看使用者和操作行為的關係,像是操作電腦時的網路衛生習慣,或是有沒有防禦不足的地方,需要補強進而加強相關資安投資。她指出,公司希望藉此有一個比較量化的結果,去呈現「這個投資是不是有效益」。
陳詰昌則補充說道,資安要做到持續改善,但問題在於「你沒辦法量測,就不能改善」。因此,他認為,如何量測資安投資的效益,是資安部門最大的功課,他也特別強調量測、量化的重要性。
在教育訓練方面,陳詰昌強調資安意識與個人關聯的重要性。他提到,社交工程演練的教育訓練,不會只刻板地告訴同仁「你不要點擊連結」,反而會從「保護個人不要被詐騙」的角度出發。
他指出,很多人本性都太善良了,太容易信任別人,結果就是「容易被詐騙」。他會舉很多銀行用戶被騙的例子,例如點擊臉書廣告後輸入信用卡資料,或是收到假冒中華郵政、台水、台電的簡訊或郵件;甚至有高階主管收到其他銀行的通知簡訊,第一直覺以為收到詐騙簡訊,事後查證後才發現,原來不是詐騙。
他表示,透過這些案例的分享,都可以讓台新銀行的同仁意識到,資安與個人生活「息息相關」。他甚至會問同仁「台新的網域是什麼」,來強調辨識網域真偽的重要性。
「要讓同仁對資安防護有感,一定要讓同仁覺得,銀行種種措施的目的,是為了保護個人,而不是單純為了保護公司系統。」陳詰昌說道。
培養資安領導者,鼓勵主動貢獻與獨立思考
對於加入FIRST之後,陳詰昌表示,他對於台新銀行自家的CSIRT團隊也有不一樣的期許。他再次強調「主動性」與「獨立思考」的重要性。他特別鼓勵同仁,要多多參與外部的討論,例如,參與銀行公會不同工作小組(Working Group,WG)組別,特別是關於資安相關法規擬定的會議。
他意識到,銀行應該更有意識地培養更多資安接班人,由其他具備專業能力、但目前可能職階還不高的同仁代表出席,這對他們也是一種訓練和磨練。
陳詰昌表示,參加這種法遵相關的會議,可以知道討論過程中,對於法條制定的前因後果、來龍去脈,也有助於判斷某條法規的適用原因,這樣才不會發生「看到某一條法規,不知道為什麼要這麼制定,然後就只能照做而已。」
他強調,讓下面的同仁多去參與,而不是總是由某些高階主管出席這類法遵會議。因為,只有參與其中,才能真正做到「知其然、知其所以然」,特別是涉及合規的部分,如果知道當初討論的過程的歷程,就會知道「為什麼這樣定,背後緣由是什麼」。
這類會議之所以珍貴且重要的原因在於:所有的法規都不可能強硬到大家都無法配合,總會保留一些彈性,陳詰昌說:「而那個彈性的判斷標準,往往是在討論的過程當中,由各家銀行分享實際窒礙難行的地方才產生的」。
所以,陳詰昌對於台新銀行加入FIRST國際資安組織,也是基於類似的邏輯。他認為,在這種國際性的場合中,往往會有許多討論,可以知道大家對資安事件的觀點為何。
若以「零信任」為例,他認為,各家銀行都會「一個零信任、各自表述」,對他而言,了解其他銀行同業的不同觀點就很重要。陳詰昌強調,不希望銀行資安同仁處於一個一言堂的工作環境,希望透過更多面向的觀點交流,進而鼓勵同仁能更主動表態,願意在這樣的場合中分享他們的觀點,並可以透過與他人討論的方式,對自己的觀點可以有更多琢磨。
總的來說,陳詰昌對CSIRT團隊最大的期許是,不只是被動執行指令的團隊,希望透過更多經驗累積和情資的分析學習,成為具備獨立思考和判斷能力的資安團隊。
他希望CSIRT團隊成員能夠「像蓋一個城市」的泥瓦匠一樣,心中可以看到更大的願景,而不是只是做一個砌牆或蓋城堡的泥瓦匠而已,能夠累積更寬廣的視野和高度,逐步成長為資安領域的領導者。
他相信,透過這樣一個長時間的訓練,和每一個環節的歷練,可以讓資安團隊的成員,都成為具備思考和動手能力的資安官。
資安共好,共築信任的數位金融未來
陳詰昌坦承,資安的投資和績效還是很難具體衡量,但是他堅信,「你不做,就是零;你做了,分數就會慢慢提升」。這也是為什麼台新銀行成為臺灣第一家加入FIRST的銀行業者的原因。
他說:「加入FIRST以及持續推動CSIRT的發展,都是希望提升台新銀行在資安領域的整體能力和成熟度」。
透過加入FIRST這樣的國際平臺,陳詰昌表示,台新銀行不僅將資安聯防生態系擴展至全球,與全球頂尖團隊合作交流,共享資安威脅情資,提升應對網路攻擊的能力。更重要的是,「這也為內部CSIRT團隊創造了學習、成長與展現的機會。」他說。
陳詰昌相信,台新銀行CSIRT團隊正一步步努力,將資安從「合規」要求,逐步轉化提升業務發展和韌性的關鍵力量,台新銀行正在往「為客戶提供可信任的數位金融服務」的願景努力著,並對臺灣金融環境的整體安全與發展,貢獻一份心力。
台新銀行成為台灣第一家以銀行業者身分加入FIRST國際資安組織的舉措,不僅為自身資安防護能力開啟新篇章,更為臺灣金融產業在全球資安合作樹立典範。他笑說:「這是一個充滿挑戰的過程,但也充滿了培養未來資安人才、實現資安共好的願景」。
隨著全球網路威脅日益加劇,金融業資安不再是單打獨鬥的戰役,而是需要國際聯防、共同進步的長期工程。陳詰昌認為,他希望透過分享台新銀行的經驗,可以為臺灣金融業面對未來資安挑戰,提供寶貴的借鑒與啟示。
台新銀行資安長陳詰昌表示,他對該公司CSIRT資安團隊的期待是成為具有願景和高度的「建造城市的泥瓦匠」,透過主動性和獨立思考,成為資安領域的專家。
熱門新聞
2025-07-07
2025-07-07
2025-07-08
2025-07-03
2025-07-07
2025-07-04
2025-07-07