專家傳真-金融資安 思維應轉守爲攻
據我們觀察,金融業遭到攻擊的切入點,普遍來自於外部服務,尤其高度仰賴委外開發的產業共通性系統,大幅增加了內部系統被存取、甚至進一步攻擊的可能性。倘若相關係統未經過高強度的資安檢測,或是缺乏漏洞回報及修補機制,一旦被攻擊者入侵,極有可能迅速蔓延到整個金融體系,造成企業和用戶的極大損失。
近兩年,金管會大力推動「金融資安行動方案」下,國內金融機構及純網銀已經陸續成立資安部門並設立資安長,目前投入資安的預算也名列產業前茅。以戴夫寇爾實際執行紅隊演練的經驗來看,金融業這幾年無論是在整體架構上的強化、資安產品的採用類型及部署廣度,抑或是員工的資安意識,都相較其他產業來得俱足,對抗資安威脅的敏銳度顯著提高、漏洞修補也變得更加快速。然而,這些加強是否已足夠?資安長們該如何推動一個更具韌性的資安環境來因應與日俱增的網路威脅?
現階段而言,多數金融業者仍採取「縱深防禦」的防守策略,以設備、服務搭配不同類型的控制措施將策略制度化,試圖抵禦來自四面八方的攻擊、將威脅阻絕境外。然而,面對日益嚴峻的資安威脅風險與不斷進化的駭客攻擊,金融機構已經不易透過前述的防禦模式有效抗衡。
因此我們建議,金融業者的資安長與團隊在構築資安防護網時,須針對網路安全邊界的模糊化採取更積極的作爲,除了透過資安治理來強化「防守方」的應變能力外,更應多加留意「攻擊方」所採用的攻擊模式與手法在現有的防禦機制下,是否能及時應變與處理,從攻擊者的思維來釐清現有資安策略規劃、長期對抗網路威脅。
在資安領域的「紅隊演練」,是以企業營運最關鍵的資訊資產作爲演練標的,在不影響企業營運的前提之下,模擬組織型駭客的攻擊模式進行入侵攻擊。在有限的時間內以無所不用其極的方式,從各種進入點發起行動,嘗試達成企業指定的測試任務目標,深度檢測企業整體資安防禦能力。以獨立、公正的角色,協助企業在下一次的真實資安事件或惡意攻擊前,及早發現潛在的威脅。而目前國內市值前20大金融保險相關機構裡,已有六成以上有執行過紅隊演練的經驗。
我們觀察,紅隊演練對於不同資安成熟度的企業可以帶來不同層次的進步,而有些企業確實更適合優先執行紅隊演練,包含:容易成爲攻擊目標的上市櫃或高資本額企業、以資訊安全做爲爲特色及優勢的公司,或是擁有龐大的數位資產、需要高度安全性來守護的機敏資料等。而金融業本身即具備這些條件,因此更應以最高強度、持續的演練來檢視自身的資安配置,進而朝向「金融資安行動方案」中對於強化資安監理、深化資安治理、精實金融韌性及發揮資安聯防的目標邁進。
要達到「善守者,敵不知其所攻」的境界,就不能只透過既有的思維佈局,而應站在攻擊者的角度,找出最急迫且脆弱的環節,做資安資源的有效配置,方能制敵機先。最後,隨着數位金融應用服務不斷推陳出新,金融業者也應更加具備不斷挑戰自身弱點的「駭客思維」,利用攻擊型資安服務定期檢測駭客可能攻擊之處,強化企業防禦體質,在擁抱數位轉型之時,也打造完善且全面的資安防護網。