तйΆྌ
               Special Report







                  在「風險分析能力」部分，則是藉由檢                            攻擊的當下，金融業又該如何因應呢？星展
              視資安基本功各項措施，透過資安成熟度分                              銀行（台灣）表示，當遇到駭客攻擊時，金

              析，找出「木桶理論」中最重要三件事，並                              融機構可能需要時間查找問題、擔心失去應
              提出資安改善計畫，以持續精進加強防護。                              變的黃金時間；也常見臨時成立的應變組織
                  所謂的「木桶理論」，概念是指木桶                             導致指揮系統紊亂，甚至是互相掣肘，因I T
              的最大裝水量並不是靠桶壁上最高的木                                人力不足，導致無法有效執行應變復原工
              板，而是取決於最短的木板，當水超過就會                              作，又或因媒體報導後內部多方意見導致人
              溢出，以此概念來說，整體的資安防護水                               員無所適從。
              準，主要是取決於最弱的環節。                                        星展銀行（台灣）建議，金融機構可
                  在 「法規遵循能力」方面，關鍵在於配                           根據國家標準暨技術研究院（N I S T）網路
              合金融資安行動方案，以確保系統持續營運與                             安全框架（C S F）中所提及，包括識別、防

              資料安全，並透過金融資安資訊分享與分析                              禦、偵測、應變及復原等五大步驟進行識別
              中心（F-ISAC）情資分享、金融資安監控中心                          與處理風險，避免影響範圍擴大。
              （F-SOC）發揮資安聯防綜效。                                      星展銀行（台灣）指出，在處理事件的
                  另外，「資安認知能力」，則是要對全                            同時，對客戶、媒體的溝通也不可馬虎，應
              體員工、供應商、甚至銀行客戶，建立資安防                             以消費者權益保護為主，透過適當說明讓
              護、人人有責的認知，透過資安教育訓練並與                             他們安心，避免恐慌。同時，應隨時掌握
              日常作業整合，讓員工們養成資安觀念，進而                             駭客的攻擊手法，主動評估與建立預防性措

              提高資安意識與維持良好的資安習慣。                                施，並透過金融資安聯防體系，共同應對與
                  對於如何培養資安基本功，蘇家涵則認                            防範駭客的攻擊。
              為，要從組織面、制度面與技術面三大層面                                   蘇家涵認為，駭客近年來幾乎以組織
              著手，其中在組織面部分，高層的重視 與 全                            化 的 方 式 對 目 標 企業進行「A P T進階持續
              力支持相當重要，並且編列充分的預算及配                              性滲透攻擊」，經由長期滲透潛伏在企業內
              置適當的資安人力；至於制度面部分，則應                              部，以達到竊取財務的目的，從過去發生的
              建立完善的資安事件應變程序；另外在技術                              ATM及SWIFT盜領案件、阻斷服務（Distributed
              面，應培訓資安人員專業技能，包括滲透測                              Denial-of-Service,  DDoS）攻擊的勒索行為，金
              試、弱點管理、網路攻防與證據保全等。整                              融業已受到相當的教訓，更意識到傳統採邊界

              體而言，銀行在發展數位金融之餘，也應積                              部署防護機制的作法，已不足以防範駭客的攻
              極發展自我資安測試與監控能力，才能因應                              擊，更應以零信任、無邊界防護的思維，來建
              多變的環境與挑戰。                                        構縱深防禦架構。
                                                                    至於該如何透過零信任、無邊界防護的
              ቊᎡ຅ɨ  Ԙ஺ΪᏐɢ׫˜Өઋࠥ๝™                               思維防禦？蘇家涵舉例說明，透過導入紅隊演
                                                               練測試、建置資安事件監控中心（SOC）、部
                  在勤練基本功之餘，當金融業面臨駭客                            署APT及EDR等端點偵測及郵件清洗等機制；






         60   台灣銀行家2022.2月號






   1          5%     JOEE