「面对网路环境越来越复杂,供应链的资安威胁更高,攻击的规模比以前更大,单一金融机构已经没办法靠自己单打独斗来面对资安威胁。」金管会副主委庄琇媛4月17日在台湾资安大会金融安全论坛开场时强调,金融机构面对与日俱增的资安威胁,除了要做好自身的资安防护和资源配置,也要持续关注F-ISAC发布的资安情资,并将资安情资分享给其他金融机构联防,共同提升资安水准,维持金融体系的资讯安全。
庄琇媛也提到,金管会未来将持续推动零信任网路架构,并且,她也提醒,金融机构运用云端、AI等新兴科技,应同时落实相关安全控管,尽最大责任保障客户权益。
为了推动金融机构发展资安,金管会在2020年发布金融资安行动方案1.0,两年后接著发布2.0版,延续1.0版四大策略,增加了14项精进措施,从鼓励金融机构拥抱零信任架构,强化核心资料保全、举办资安长联系会议,推动重大资安事件的支援演训等。去年7月,金管会发布金融业导入零信任架构参考指引,期望能持续推动金融业导入零信任架构。
金管会资讯服务处处长林裕泰也出席2025台湾资安大会的金融资安论坛,点出金融业导入零信任架构参考指引的重点内容。
在论坛中,金管会资讯服务处处长林裕泰再次强调金融机构应导入零信任的原因,并点出金融业导入零信任架构参考指引的重点内容。
林裕泰认为,金融机构需要导入零信任架构原因有二,第一,远距工作与云端服务普及,企业边界日益模糊,场域外人员及设备安全控管更加困难,第二,也是他特别强调的观念,「一定要假设资安有缺口,骇客可能会进到你的内部。」因此,他指出,金融业者应找到内部最重要的资料保护对象,让骇客在进入内网时,可以经过层层拦阻,「不让骇客一下就找到资料宝藏,这是我们推动零信任的目的。」林裕泰说。
他点出,导入零信任架构共有四大实施原则,分别是风险导向、循序渐进、目标导向,和技术中立。
针对风险导向,林裕泰解释,金融机构不应野心过大、一次全面导入零信任,否则将耗费过多人力、经费与沟通成本。例如,金融机构可以先从远距办公、重要应用系统管理者,或是和跨机构协作等高风险场域试行。
另外,他也建议金融机构可依分级指标,分阶段、循序渐进导入零信任架构。类似美国CISA发布的零信任承受模型,从传统、初始、进阶再到最佳化,逐步精进的方式去实施。从建立静态指标,到纳入动态指标,再发展到整合即时指标,最后则是整合所有指标,建立可快速调适的自动化管理机制。
林裕泰解释,金融机构可依据参考指引中,针对「身份、设备、网路、应用、资料」五大支柱提供的分级对应细项指标,来逐步发展至最佳化阶段。「最重要的是,导入产品的过程,要有日志收集机制。」他表示,导入零信任相关资安产品时,应确保产品本身具备日志收集机制,并且,产品要能与既有的资安监控和事件应处结合,保护内部重要资料。
金管会开始推动金融云端资安监控基准
林裕泰提到,金管会约在3、4年前开始发展金融资安监控基准,「但当时都是针对地端的防御措施,」随著金管会修正委外规范,越来越多金融机构因应营运或韧性需求上云,「但云端的资安防护和地端防护很不一样。」
林裕泰表示,去年上半年,金管会找来相关利害关系者,包含公有云业者、资安监控厂商和金融机构,共同讨论如何发展金融云端资安监控基准,包括需不需要将云端服务资安组织发展的基准纳入参考范围,或是需不需要额外针对云原生工具订定防护措施。
因应委外规范修正,越来越多金融机构因应营运或韧性需求上云,金管会从去年下半年开始发展金融云端资安监控基准。(摄影:李昀璇)
去年下半年,金管会陆续有了部分成果。首先,金管会列出金融机构常用的云端服务,包含帐号管理、静态资料储存、托管虚拟机、稽核记录、无伺服器服务,和机密金钥管理,这些服务都纳入了金管会研议制定云端版资安监控基准的范围。
金管会在制定金融云端资安监控基准时,首先列出金融机构常用的云端服务,包含帐号管理、静态资料储存、托管虚拟机、稽核记录、无伺服器服务,和机密金钥管理。(摄影:李昀璇)
另外,金管会也从攻击框架出发,运用云端云生原生资安工具,来评估国际资安组织与云端服务商发布的各项安全组态基准文件,能否完全侦测和阻挡各项攻击行为。
林裕泰指出,在云地混合架构下,企业必须思考资安监控机制的部署方式,例如,是否使用云端原生工具、是否需在云端自建SIEM平台,或是为了整合既有地端监控系统,要设置将日志和警示回传至地端。除了技术上的考量,成本也是需要权衡的因素。「怎么在这之间做到权衡,是非常重要的考验。」林裕泰说。
他表示,云端虽有资安监控工具,但当金融机构要在特定场景,针对特定人、事、时、地、物做进一步的监控和应变处置,就须要在自建的监控平台额外制定特殊规则。因此,林裕泰表示,金管会也正在制定这些规则,并发展手册内容,预计在近期开始向金融机构做推广和教育训练。并且,金管会未来也会邀请金融机构针对研究结果进行试行,除了期望确认规则的有效性外,也希望减少金融机构的错误告警次数,「这是资安监控中非常重要的环节。」他说。
未来将关注AI、供应链安全和量子运算
林裕泰表示,金管会继去年发布零信任导入参考指引,接著发展金融云端资安监控基准。若这套机制运作顺利,后续将进一步拓展至容器或平台即服务等领域。
他指出,人工智慧、供应链安全和量子运算,将会是金管会持续关注的议题。包括AI能否协助解决资安人力不足的问题、未来是否可延伸发展 AI 版监控基准,都是可能的推动方向。针对供应链安全议题,林裕泰提到,金融机构与合作伙伴的API议题、供应商能否提供安全的原始码和元件等,都是可关注的方向。另外,他也提到,数位发展部近日发布后量子密码迁移指引,将会是金融业未来需要研议的议题。