撰文：劉以豪

日前台灣、美國雙方專家齊聚一堂討論「資安韌性」，因氣候變遷、COVID-19疫情、地緣政治等風險籠罩全球，各界益發重視資訊安全，如今已將資安韌性視為攸關企業存亡的課題。

時值全球企業界力拚數位轉型之際，也代表網路邊界不復存在，企業如何強化資安應變能力、提升數位韌性，將是「資訊安全治理」相關議題的焦點所在。日前，台灣、美國雙方專家齊聚一堂討論並互相交流如何強化資訊安全的見解及最佳落實之道，畢竟資安攻防戰必須了解矛與盾，與邪惡組織鬥法才知如何勝出。

台灣微軟顧問服務總經理林義評在題為「強化金融資安韌性與資料保全」的演講中指出，以往「資安韌性」（Resilience）這樣的議題只會被視為技術層面的問題，但隨著氣候變遷、COVID-19疫情、地緣政治等風險籠罩全球，各界益發重視資訊安全，如今已將資安韌性視為攸關企業存亡的課題。

檯面下「黑暗世界」已發展為縝密犯罪指揮體系

「現在惡意攻擊已經變得很廉價，成了一門生意。」林義評說，現在像是阻斷式攻擊、個資盜取、網路詐騙、勒索軟體等產品或服務，在檯面下的「黑暗世界」中都能輕易買到，而且不再只是駭客的個人行為，已發展為縝密的犯罪指揮體系。

AWS專業領域架構師經理楊仲豪則觀察指出，如今客戶已經不再問「How to go to the cloud」（如何上雲端），而是在問「Operations in the Cloud」（雲端上的營運管理）。在他看來，想要完全不面臨資安方面的攻擊是不可能的，重點是建置「營運管理的韌性」（Operational Resilience）之目標，不能一被攻擊就被打倒。

網路安全威脅型態複雜金融業者須正視五大危機

要做到這一點，實屬不易，因為關於網路安全的威脅，型態日益複雜。資策會資安所總監暨金融研訓院資安顧問許建榮引用美國軟體業者Desk Alerts的資料指出，2023年金融業者必須正視五大網路安全危機。

一是「勒索軟體」，被勒索軟體所攻擊的組織內部系統可能會長時間癱瘓，尤其一旦沒有備份的話，即便向這些駭客或犯罪分子支付贖金，也未必能保證系統恢復正常；二是「遠距工作所帶來的持續風險」，員工不會僅接觸到由組織所控制的系統或雲端軟體，業者面臨的潛在網路安全漏洞也將多於以往。

三是「來自雲端的網路攻擊激增」，這始終是銀行業界所面臨的普遍威脅之一；四是透過操縱人類心理，使其採取特定行動或洩漏機密的「社交工程」（Social Engineering）陷阱，像是網路釣魚、鎖定名人或公司高階經理人的捕鯨攻擊、傳送假發票等；五是「供應鏈攻擊」，主要是針對軟體供應商的客戶提供代碼，使對方接觸會遭受攻擊的惡意軟體。

對於越來越繁複的資安攻擊手法，金融業者更必須嚴陣以待。不論對台灣或其他國家來說，金融業都是關鍵的基礎設施，若說「金融安全」等同於「國家安全」，一點都不為過。

高頻交易普及 Maker-Checker管制方式深受挑戰

國防安全研究院助理研究員楊長蓉分析，金融業具備顯著的「Interconnec-tedness」（相互關聯）特性，今天若是油、水力、電力相關公共事業體的網路遭受攻擊，還有機會透過與外界隔離的內部網路來保持運作，但金融業與其他行業、單位是高度連結的，對外的節點多，遭受攻擊的機率自然相對高。

除此之外，凱基銀行金融科技處副總經理兼任資訊安全長周旺暾指出，金融業有越來越多員工遠距工作、遠距服務，以及客戶越來越習慣使用數位工具，高頻交易又比以前普及，皆讓Maker-Checker（制定者與檢查者之授權原則）的管制方式深受挑戰。

銀行業者還普遍面臨一大問題，就是資訊系統架構過於老舊，而且過往可能每一次進行不同專案，就向不同的資訊業者購買系統，最後搞得整個系統疊床架屋，讓資安防護的工作難度大幅提高，再加上軟體的生命週期大幅縮短，甚至可能某一項新軟體甫上線便過時了，駭客們也更有機可乘。

正因為如此，金融業應當重新定義資安韌性。林義評認為，這種韌性應當包括在脆弱的體質下保持成長的能力、從災害中恢復的能力、抵抗失敗的能力。

楊長蓉也說，一旦金融業者遭受攻擊，如何在第一時間察覺，並快速修復，維持業務永續運作、客戶信心不被動搖，已經是國安等級的議題了。

有鑑於此，金管會發布「金融資安行動方案」2.0版，包括擴大資安長的設置、強化數位身分驗證的安全性、鼓勵「零信任網路」（Zero Trust Network, ZTN）的部署等措施。其中「零信任網路」是近年來深受金融業者矚目的觀念，也被視為提升資安的可行方案之一。

鼓勵「零信任網路」提高「數位免疫力」刻不容緩

何謂「零信任網路」？現階段這仍然是一種持續演進的概念，或者可說是一種方法，但目前尚無特定產品或認證、實際可遵循的標準，主要是考量到以現代企業的經營型態、網路環境的高度複雜性，不該再以企業內部或外部來作為刻板的區分，而是堅守「對於任何資料的存取，皆採取永不信任且必須驗證」的原則下，達成不論何時、何地存取資料，皆能保證一致安全性的目標。

星展銀行資深副總裁李嘉銘指出，「零信任網路」的優點是，透過「將存取權限降至最少」策略，避免接觸到容易受攻擊的物聯網裝置，並減少發動攻擊方與被攻擊裝置之間橫向移動所造成的破壞，同時降低突破傳統邊界安全控制的威脅所帶來的風險，亦能進一步降低管理成本。

NIST（美國國家標準暨技術研究院）發布了SP800-207標準文件，提供了「零信任網路」概念的架構，可以建置在雲端或地端，並將零信任架構邏輯組件區分成「核心組件」與「支援組件」。

「核心組件」就是不管任何一方要透過系統來存取企業資源前，都必須通過決定是否要給予權限的「控制層」，控制層會藉由「政策決策點」來判斷；政策決策點包含了政策引擎（指認證的Server，如帳號認證或生物辨識認證）與政策管理器（Policy Administrator，通常指Web後台），前者負責運算，經過運算後再判斷是否給予存取資料的權限，後者則負責執行。

至於政策引擎的判斷依據，除了企業政策外，也包括外部資訊，而外部資訊就是「支援組件」，目前NIST列出可以運用的共有8種，包括持續診斷與緩解（CDM）系統、產業合規系統、威脅情報、網路與系統的活動日誌、資料存取政策、企業公開金鑰基礎建設、身分管理系統、安全事件資訊管理系統。

李嘉銘說，一個完整而可靠的零信任解決方案，必須有三要素，包括「進階身分管理」（Enhanced Identity Governance）、「網路微分割」（Micro-Segmentation）、「軟體界定邊界」（Software Defined Perimeters），而這三要素都是星展正在致力發展的。

他以「進階身分管理」為例，星展銀行員工的手機都必須導入公司的MFA（多重要素驗證），一般而言，MFA機制的驗證項目至少會包含「What you know」（如使用者名稱或密碼）、「What you have」（如身分證或獨立的行動裝置）、「What you are」（臉部或指紋等生物辨識認證），星展的某些系統必須通過兩層驗證，某些是三層皆得通過，以部門判定的系統風險來決定，「基本上MFA足以阻擋99.9％的攻擊了。」

不管企業是否採用「零信任網路」或其他資安維運方案，有一點是所有金融業同仁都務必要做到的，就是將資安維護視為自己的責任之一，而非只是資安部門的工作。

若將資安工作人員比喻為抗疫第一線醫護人員，他們負責預防疫情、疫後的調查與復原工作，但要是其他人欠缺衛教意識，一旦疫情大爆發，不管人力再多、醫護人員素質再好，仍然無法及時搶救所有病患。其他人不該以為只要仰賴防毒軟體、架設防火牆即足夠，平常就要保持良好的資安衛生習慣、提高自己的「數位免疫力」。

「主管機關對資安的要求只是基本功，即便金融業者達到主管機關的標準，也不代表可以通過駭客的檢驗，畢竟駭客們總是很有想法。」周旺暾說，凱基銀行的作法是，考量到資安沒有1或0的問題，故用風險管理的角度來評比每個系統的資安風險等級，而非「絕對安全」或「絕對不安全」的劃分法，並將「資訊安全分數」列為每一位員工的績效考核項目，讓全體員工都能以全新觀點來檢視公司的資訊安全，強化公司抵禦資安危機的體質，或許可提供其他業者參考。