金融業防駭 金管會推動「零信任」 兩大關鍵

金管会。 图/联合报资料照片

为避免骇客透过钓鱼网站入侵金融业内网，进而发动攻击，金管会昨（18）日发布「金融业导入零信任架构参考指引」，有两大关键，一、金融业需将资安防护商品或解决方案做整合，以提早侦测异常、阻断重大资安事件，二、六大高风险资安场域，希望金融业可优先盘点。

台湾金融史上第一次，东欧骇客集团从银行伦敦一台电话录音伺服器，横跨一万公里，远端遥控台湾北中两地，让大型银行共41台ATM「自动吐钞」还派出车手盗领了逾8,300万元，引发市场哗然。

金融业「零信任架构参考指引」概况 图／经济日报提供

金管会资讯服务处长林裕泰说，推动「零信任」这件事精神就是「永不信任」。不要相信内网有不被入侵的机会。而导入「零信任」不是买新产品或解决方案去替换，而是逐步进阶整合。

如骇客透过钓鱼邮件，侵入内部设备，从内部发布攻击时候，内网是否可有相当等级的资安防护，当骇客在内部攻击时，可做适当侦测、拦阻和阻挡。

林裕泰说，过去金融业的「零信任」是很大框架，公布该指引是希望借由明确架构和参考指引，让金融业不再从个别的「点」来做，是从骇客攻击的路径去看。

金管会希望各金融业加强两大方向，将五大资料存取途径的「点」连成一条线。这五大资料存取途径是身分、设备、网路、应用程式和资料，而「点」连成「线」，是将骇客攻击样态做关联性分析，以及早侦测。

例如骇客伪冒身分登入，会植入其使用设备（例如木马程式），透过网路做一些探测性行为，再进入应用程式并取得授权，取得关键性或机敏性资料。

他说，当出现攻击时，资安防护不能只看一个点，而是要对准到骇客攻击行为，当每个点所部署资安防护，发生事件时，是否可以集中收集、做关联分析，依骇客攻击样态做对照。

这些资安防护机制可以整合，及早发现异常、及早点阻断一些严重资安事件，这就连成了一条线。首要之务，把既有资安防护商品或解决方案，做一些整合。整合就是资安监控机制和事件管理平台中，把一些资讯可做清楚收集做管理分析，找到异常样态。

其次，将以六大高风险场域的地方可以优先强化，优先做盘点。包括远距办公、云端存取、系统维运管理、应用系统管理、服务供应商、跨机构协作等。