2021 金融資安論壇：最好的防禦就是主動 活動會後報導

去年金管會開始推動「金融資安行動方案」分別從監理、治理、作業韌性與聯防功能四大面向切入，其中聯防的功能方式，除了依循傳統防禦的方式外，主動式偵測企業本身防禦系統的優劣、企業本身是否有完備的防禦機制、面對駭客威脅的應對，如何規劃防禦企業面臨的威脅，該做些什麼，又該如何做將是企業的一個課題。

連續兩年的疫情，多數的企業營運因為疫情況因此而停止營業，有的則依舊咬著牙支撐下去，對於，政府數位轉型的進程，政府持續推進中，尤其是對於金融業的數位進程，我們可以看到政府對於金融機構的重視度。上個月，九月七日金管會宣布明年(2022)第一季前，一定規模的金融機構和純網銀的機構都須增設資安長的職位，以現階段符合要求條件的銀行業、投信投顧、證券業與期貨機構，需設立副總級或是資安長的統計上，有25 家銀行業未設立與17 家的證券業，因此未來六個月內，我們將會有42 家金融單位新增資安長職務，由此可見資安的重要性在金融業是不可缺席的。

兩年多前成立的資安新創公司 ZUSO 如梭世代，迅速在資安產業的舞台上竄起，ZUSO 團隊，每位成員平均都超過十年以上服務產業的資歷。「最好的防禦，就是攻擊」是 ZUSO 給予外界的第一深刻印象，同時也代表了公司服務的定位。一般企業在架構資訊安全防禦機制後，並無法驗證其安全強度，而 ZUSO 如梭世代則透過攻擊方式，協助企業從根源中探索企業自身的資訊安全強度，並進一步協助企業資安團隊的運作。

累積了兩年多來面對客戶的經驗，憑著一股熱忱及分享的精神，在九月中旬，ZUSO 如梭世代邀請了國內資安產業重磅級貴賓講師們，參與一場金融資安論壇，出席演講的包含了行政院資安處處長簡宏偉、中華民國電腦稽核協會理事長葉奇鑫、BSI 英國標準協會東北亞區總經理蒲樹盛、永豐金控資安長李相臣、合盛法律事務所主持律師張紹斌、刑事局科技犯罪防制中心主任林建隆、東吳大學法律系副教授余啟民以及如梭世代技術經理 Shirley Kuo 等八位重磅講師，議題內容從政策法規、企業進階防禦手法，風險控管與稽核等面向進行精彩的分享。

資安論壇活動中，行政院資安處處長簡宏偉表示，資安通報的範疇不再只侷限於IT，尤其近年 OT(Operation Technology) 也顯著出現在通報的行列內，從法規的角度來看，我們可以感受到不論從政府到民間企業，大家依循法遵進行通報的意識持續提升，且國家關鍵資訊基礎設施(Critical Information Infrastructure，CII)於資安通報上也逐漸頻繁，這對於政府、企業來說是資安落實的一種具體表現，也是現今我們要持續將資源集中，集中於法規遵循與落實資安防護上更加精進。

刑事局科技犯罪防制中心主任林建隆以「駭客經濟與金融資安的成本效益」為切入點分享，非常貼切此次金融單位與會的會眾。演講一開始林建隆明確表示，金融業是需要投入成本進行資安的防護，例如網路運作的資安防護，因為一但網路受到資安威脅，其造成的損失將是難以計算，金額損失極高。林主任以勒索軟體攻擊為例，近年國外報告統計指出，駭客最喜愛攻擊的三大目標族群分別為，醫療機構、專業科技服務公司以及金融機構，這三個目標族群都有著共同的兩個特色，營運服務無法中斷和營運資金豐厚。因此，有鑑於此，金融機構更需於進行網路防護架構規劃時，除了意識到網路犯罪集團所運用的複合式勒索攻擊外，企業本身對於資安成本的投入觀念，也要正視之。

駭客攻擊變化多端，詭譎難測，極力呼籲以駭客攻擊思維，提出正面防禦，從被動改為主動方式，ZUSO 如梭世代技術經理 Shirley Kuo 表示，他們團隊從歷年服務企業客戶的經驗來說，除了透過技術協助外，特別是 ZUSO 紅隊演練的服務，透過長期研究各產業間不同的資安防禦架構的經驗，並且觀察攻擊流程(TTP)與技術之數據資料庫，再經由各項檢測手法和偵測工具，經常能發現企業所面臨的威脅性，進而給予企業有效的資安風險分析，讓企業組織的整體資安強度能向上提供，讓安全管理上更為容易。

九月金融資安論壇，以精實資安的敏捷度，化被動為主動的概念，透由多位的產官學專家的分享，讓出席與會大眾有許多收穫與新的資安防禦思維，我們再次回顧活動中，簡宏偉處長提到資安事件中，人為的疏失佔大多數比例，這訊息傳達出意味著資安的防護與防禦，除了透過技術、工具外，資安法規、資安衛生習慣以及專業服務廠商的合作、資安意識的訓練與培育等，將會是日後我們大家持續落實與遵循的方向與目標。

關於 ZUSO 如梭世代

如梭世代（ZUSO Generation）是由一群專精駭客攻擊手法及威脅分析，深耕於資安技術研究的團隊，具豐富資安經驗與高敏捷的應對機制，提供滲透測試、紅隊演練、事件調查及顧問服務的資訊安全服務公司。

「別人提供大同小異的服務 我們只希望提供小同大異的服務」

企業用戶面臨的資安風險與需求服務不盡相同，經由全面性檢視企業資安現況並佈局，協助企業發掘資安風險與威脅，為企業量身定製客製化的資安服務規劃，期許為企業用戶共同打造高競爭力及完善網路資訊安全環境。如需更多資訊，請至 https://zuso.ai 。