防駭客入內網！「零信任指引」上路 金融業要做兩件事

金管会发布「金融业导入零信任架构参考指引」，有两大关键，一、金融业需将资安防护商品或解决方案做整合，以提早侦测异常、阻断重大资安事件，二、六大高风险资安场域，希望金融业可优先盘点。图/本报资料照片

为避免骇客透过钓鱼网站入侵金融业内网，进而发动攻击，金管会发布「金融业导入零信任架构参考指引」，有两大关键，一、金融业需将资安防护商品或解决方案做整合，以提早侦测异常、阻断重大资安事件，二、六大高风险资安场域，希望金融业可优先盘点。

台湾金融史上第一次，东欧骇客集团从银行伦敦一台电话录音伺服器，横跨一万公里，远端遥控台湾北中两地，让这家大型银行共41台ATM「自动吐钞」还派出车手盗领了逾8,300万元，引发市场哗然。

金管会资讯服务处长林裕泰说，推动「零信任」这件事精神就是「永不信任」。不要相信内网有不被入侵的机会。而导入「零信任」不是买新产品或解决方案去替换，而是逐步渐进的进阶整合。

如骇客透过钓鱼邮件，侵入内部设备，从内部发布攻击时，内网是否可有相当等级的资安防护，当骇客在内部攻击时，可做适当侦测、拦阻和阻挡。

林裕泰说，过去金融业的「零信任」是很大框架，公布该指引是希望借由一个明确架构和参考指引，让金融业不再从个别的「点」来做，是从骇客攻击的路径去看。

金管会希望各金融业加强两大方向，一、将五大资料存取途径的「点」连成一条线。这五大资料存取途径是身分、设备、网路、应用程式和资料，而「点」连成「线」，是将骇客攻击样态做关联性分析，以及早侦测。

例如骇客伪冒身分登入，会植入其使用设备（例如木马程式），透过网路做一些探测性行为，再进入应用程式并取得授权，取得关键性或机敏性资料。

他说，当出现攻击时，资安防护不能只看一个点，而是要对准到骇客攻击行为，当每个点所部署资安防护，发生事件时，是否可以集中收集、做关联分析，依骇客攻击样态做对照。

这些资安防护机制可以整合，可及早发现异常、及早点阻断一些严重资安事件，这就连成了一条线。

第一件要做的事情，把既有资安防护商品，或解决方案，可做一些整合。整合就是资安监控机制和事件管理平台中，把一些资讯可做清楚收集做管理分析，找到异常样态。

其次，将以六大高风险场域的地方可以优先强化，优先做盘点。包括远距办公、云端存取、系统维运管理、应用系统管理、服务供应商、跨机构协作等。

金管会上半年调查了38家国银、40家保险业和19家较大规模券商、1家期货和三家投信，各金融业在既有资安防护「点」上，有跟零信任相关的防护项目，公布该指引后，希望各业者把对零信任概念对齐才能做更有系统整理。

因此仅行政指导，金管会希望实施一阶段后，若各金融业在资安防护原则执行上都已达成，就可以请各公会评估纳入自律规范，形成一个具体可实施条文。