改變傳統金融風控方式!資安防護觀念從過往的滴水不漏進化為「快速復原」
金融科技浪潮將讓金融業的交易模式逐漸從實體轉向線上,舉凡帳戶開立、信用卡申辦、轉帳、繳費等金融交易作業,幾乎都可以透過行動網銀或網路銀行一氣呵成,在疫情催化下,更讓網路交易模式比重與日俱增,也凸顯金融資安風險控管的重要性。銀行業者認為,對於資安防護與風控,已經不能再用傳統「滴水不漏」的模式因應,而是應該思考當駭客兵臨城下時,業者如何在平時打好防護與應變基礎,透過團隊力量在第一時間因應並迅速復原,將風險降到最低。
模擬戰況,反覆練兵強化應變力
星展銀行(台灣)表示,資安核心三要素就是機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),以保護資訊資產,避免遭受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。
根據美國國家標準暨技術研究院(NIST)網路安全框架(Cybersecurity Framework, CSF),銀行在資安防護與風控上,必須要有能力識別網路威脅(Identify)並建立防禦措施(Protect),而過去對於資安防護必須做到「滴水不漏」的觀念已經不合時宜,因應科技日新月異,建議銀行業應該建議新的觀念,也就是「環境隨時有可能被入侵、破解的想法」,因此要在不受信任的網路中建構安全系統,透過全天候偵測內外部威脅事件(Detect),才能在發生資安事故時,採取應變措施(Respond)並快速從災害復原(Recover)。
兆豐銀行資訊處副處長蘇家涵則認為,金融科技發展運用具多樣性,而客戶使用行為也從傳統的臨櫃辦理變成網路完成,這對銀行資安風控確實是很大的挑戰,在因應快速變化的挑戰下,銀行在資安防護上應從風險管理的角度,參考美國國家標準暨技術研究院網路安全框架,從事前的風險辨識、漏洞發掘、防禦監控,事中的網路攻防與應變處理,及事後的快速回復與強化,做好充分的規劃與準備。
蘇家涵進一步指出,銀行在資安防護與風險控管上,應該強化既有的桌面程序演練,以真實的資安事件,發展不同事件應變劇本(Playbook),具體的讓相關單位能了解並實地演練,當駭客攻擊等相關事件發生時所扮演的角色與擔負的任務,強化對於突發事件的應變能力。
降低遭駭,強化五大核心能力
而因應金融科技趨勢,銀行在導入新技術的同時,應該如何鍛鍊基本功?星展銀行(台灣)指出,在數位時代,銀行應該培養五大核心能力,包括情資偵蒐能力、事件應變能力、風險分析能力、法規遵循能力、資安認知能力等。
其中「情資偵蒐能力」,關鍵在於「知己知彼百戰百勝」,透過蒐集威脅情資,並根據情資內容,進而規劃防禦措施及應變方式;至於「事件應變能力」則是建立事件通報SOP並定期進行跨單位桌面演練,透過與外部專家合作進行實兵演練,驗證資安基本功的有效性。
在「風險分析能力」部分,則是藉由檢視資安基本功各項措施,透過資安成熟度分析,找出「木桶理論」中最重要三件事,並提出資安改善計畫,以持續精進加強防護。
所謂的「木桶理論」,概念是指木桶的最大裝水量並不是靠桶壁上最高的木板,而是取決於最短的木板,當水超過就會溢出,以此概念來說,整體的資安防護水準,主要是取決於最弱的環節。
在「法規遵循能力」方面,關鍵在於配合金融資安行動方案,以確保系統持續營運與資料安全,並透過金融資安資訊分享與分析中心(F-ISAC)情資分享、金融資安監控中心(F-SOC)發揮資安聯防綜效。
另外,「資安認知能力」,則是要對全體員工、供應商、甚至銀行客戶,建立資安防護、人人有責的認知,透過資安教育訓練並與日常作業整合,讓員工們養成資安觀念,進而提高資安意識與維持良好的資安習慣。
對於如何培養資安基本功,蘇家涵則認為,要從組織面、制度面與技術面三大層面著手,其中在組織面部分,高層的重視與全力支持相當重要,並且編列充分的預算及配置適當的資安人力;至於制度面部分,則應建立完善的資安事件應變程序;另外在技術面,應培訓資安人員專業技能,包括滲透測試、弱點管理、網路攻防與證據保全等。整體而言,銀行在發展數位金融之餘,也應積極發展自我資安測試與監控能力,才能因應多變的環境與挑戰。
遭駭當下,迅速因應力拚「災情降溫」
在勤練基本功之餘,當金融業面臨駭客攻擊的當下,金融業又該如何因應呢?星展銀行(台灣)表示,當遇到駭客攻擊時,金融機構可能需要時間查找問題、擔心失去應變的黃金時間;也常見臨時成立的應變組織導致指揮系統紊亂,甚至是互相掣肘,因IT人力不足,導致無法有效執行應變復原工作,又或因媒體報導後內部多方意見導致人員無所適從。
星展銀行(台灣)建議,金融機構可根據國家標準暨技術研究院(NIST)網路安全框架(CSF)中所提及,包括識別、防禦、偵測、應變及復原等五大步驟進行識別與處理風險,避免影響範圍擴大。
星展銀行(台灣)指出,在處理事件的同時,對客戶、媒體的溝通也不可馬虎,應以消費者權益保護為主,透過適當說明讓他們安心,避免恐慌。同時,應隨時掌握駭客的攻擊手法,主動評估與建立預防性措施,並透過金融資安聯防體系,共同應對與防範駭客的攻擊。
蘇家涵認為,駭客近年來幾乎以組織化的方式對目標企業進行「APT進階持續性滲透攻擊」,經由長期滲透潛伏在企業內部,以達到竊取財務的目的,從過去發生的ATM及SWIFT盜領案件、阻斷服務(Distributed Denial-of-Service, DDoS)攻擊的勒索行為,金融業已受到相當的教訓,更意識到傳統採邊界部署防護機制的作法,已不足以防範駭客的攻擊,更應以零信任、無邊界防護的思維,來建構縱深防禦架構。
至於該如何透過零信任、無邊界防護的思維防禦?蘇家涵舉例說明,透過導入紅隊演練測試、建置資安事件監控中心(SOC)、部署 APT 及 EDR 等端點偵測及郵件清洗等機制;另外,透過參與「金融資安資訊分享與分析中心」情資分享,與同業交換攻擊事件情資,除可以他山之石來檢視自身防禦外,亦可達到金融資安聯防的效果,以積極主動防範態度因應未知的駭客攻擊行為。
統籌組織,資安長讓團體戰更有效率
提及 2022 年底前完成資安長職務設立,對於資安長的任務,星展銀行(台灣)以自身運作經驗為例,星展銀行(台灣)早在 2018 年即設置資訊安全專責單位,並於 2022 年 1 月經董事會通過,由營運長兼任資安長,負責推動資訊安全政策並進行資源調度事務。
星展銀行(台灣)根據美國聯邦金融機構檢查委員會(FFIEC)之網路安全評估框架(Cybersecurity Assessment Tools, CAT),以不同角度進行分析,協助管理階層迅速理解資安狀況,透過資安成熟度,評估目前組織各控制措施是否已到位,協助管理階層作為相關管理規範的調整參考。
另外,為持續推廣資安意識與培育金融資安人才,以提升組織的資安能量,星展銀行(台灣)認為,資安並非單點或單方面的防護機制就可成形,因此,透過資安營運中心(SOC),可對資安事件進行全天候不間斷的及時集中監控。除此,加入金融資安聯防體系,形成縱深防禦的防護機制,也能提升組織資安整體防禦能力。
蘇家涵也以自身經驗為例,在資安領域 15 年的工作經驗,越來越能體會到,資安工作不但要有技術能力,更重要的是要會「溝通」,得到高層主管的重視與支持,同時也能夠讓資安長在充分了解下,協助資源調度和跨單位協調,使各項安控措施得以順利推動。
至於在資安團隊這部分,則應做到合規要確實、修補要踏實、防禦要充實、安控要落實、人員要精實、測試及訓練要務實,才能確實做好資安防護工作。
本文轉載自《台灣銀行家》
延伸閱讀
【創新解方】AuthMe:數位身分驗證,降低偽冒風險、省去人工審核成本
組織彈性、品牌更有「人性」!2022 年企業營運關鍵趨勢一次看
國家想要數位革新,只靠科技遠遠不夠!資料整合、透明化,才能激發更多創新