「资安的改变从被动变主动,从单点控制变价值驱动。」金管会副主委邱淑贞5月16日在台湾资安大会金融安全论坛开场时表示,资安过去仅针对个别事件进行处理和回复,随著金融业大力运用数位化发展业务,资安现在和业务风控结合,成为驱动业务发展的关键,也是金融机构前进的重要动力。
为了推动金融机构发展资安,金管会在2020年发布金融资安行动方案1.0,两年后接著发布2.0版,延续1.0版四大策略,增加了14项精进措施,从鼓励金融机构拥抱零信任架构,强化核心资料保全、举办资安长联系会议强化,推动重大资安事件的支援演训等。
如今,2.0版发布已过一年半,金管会资讯服务处处长林裕泰在论坛中强调,零信任架构和资安联防是金管会力推的两大面向。
金管会资讯服务处处长林裕泰也出席2024台湾资安大会的金融资安论坛,他表示,零信任架构和资安联防是金管会正在努力推动的面向。
提供导入零信任架构的三项步骤
林裕泰表示,近期,金管会密集和金融机构举办研讨会,期望在庞大的架构下,找到推动零信任架构的共识。他认为,金融机构需要导入零信任架构原因有二,第一,业者无法确保外网十分安全,一旦资安有缺口,攻击者一定会进入内网,第二,企业边界越来越模糊,有许多远端办公的员工,业者难以控管场域外人员及设备安全。因此,金融机构需要从零信任架构重新检视资安政策,例如,尝试缩小攻击表面、限缩损害的冲击,最终让内网的防护和外网同样安全。
针对金融机构如何实际导入零信任架构,林裕泰建议可以采取三项步骤,首先,是将资源用在刀口上,选定优先的保护标的,例如,高权限使用者帐号、重要系统的外部使用者、委外厂商的远端维运管理等高风险场域,「先把实施范围缩小,才能让资源被高度使用。」
接下来,林裕泰强调,「零信任最需保护的是资源,而不是入口。」零信任架构的重点,是在内网设立重重防护,抵挡骇客存取相关资源,所以,林裕泰建议业者应盘点资源存取途径,查看从身份、设备、网路、应用程式到资料中的脆弱点,以零信任思维逐步提升安全性。例如,在身分、设备和网路设立多一层防护机制,并且进行适当的分割,缩小攻击表面。
金管会资讯服务处处长林裕泰建议,业者在导入零信任架构时,应盘点资源存取路径,以零信任思维强化防护机制。例如,在帐号登入时一律采取双因子认证,在身分验证上增加多一层防护。
最后,是要能整合并分析事件日志,再结合威胁情资,形成信任推断机制。后续进一步发展自动协作机制,以动态监控支援信任推断。「我们期待金融机构推动零信任架构的过程中,不是一步到位,而是类似美国CISA发布的零信任承受模型,从传统、初始、进阶再到最佳化,逐步精进的方式去实施。」林裕泰表示,未来,金管会将会根据这三项步骤,提供金融机构导入零信任架构的参考指引,待业界发展出实务案例后,再逐步发展成资安相关规范。
重视资安联防中的动态情资分享
除了零信任架构,金管会也十分关注资安联防的运作效能。林裕泰表示,去年F-ISAC(金融资安资讯分享及分析中心)提供的情资分享资讯中,76%的资讯来自金融机构会员,目前这个比例也稳定超过75%,「显示F-ISAC和金融机构之间已建立了双向互信的管道。」
此外,金管会在今年开始调整会员分享资安情资的奖励措施,除了静态情资分享,也将动态情资分享纳入评分标准,鼓励业者分享更多类型的资安情报。除了针对地端的资安防护,林裕泰也表示,金管会正在关注云端上的攻击行为,评估现有的资安联防机制是否能扩展至云端上的资安防护。
回顾金管会推动资安行动方案的过程,林裕泰表示,过去三年来,金管会和各相关单位尝试将许多看似不相关的事物慢慢拼凑成完整的方案,「我们现在正在把零信任、资安防护监控有效性评估、资安情资分享和资安联防的运作拼凑起来,整合所有相关资源,使整个推动更有脉络。」