Page 60 - NO.146銀行家雜誌
P. 60
तйΆྌ
Special Report
在「風險分析能力」部分,則是藉由檢 攻擊的當下,金融業又該如何因應呢?星展
視資安基本功各項措施,透過資安成熟度分 銀行(台灣)表示,當遇到駭客攻擊時,金
析,找出「木桶理論」中最重要三件事,並 融機構可能需要時間查找問題、擔心失去應
提出資安改善計畫,以持續精進加強防護。 變的黃金時間;也常見臨時成立的應變組織
所謂的「木桶理論」,概念是指木桶 導致指揮系統紊亂,甚至是互相掣肘,因I T
的最大裝水量並不是靠桶壁上最高的木 人力不足,導致無法有效執行應變復原工
板,而是取決於最短的木板,當水超過就會 作,又或因媒體報導後內部多方意見導致人
溢出,以此概念來說,整體的資安防護水 員無所適從。
準,主要是取決於最弱的環節。 星展銀行(台灣)建議,金融機構可
在 「法規遵循能力」方面,關鍵在於配 根據國家標準暨技術研究院(N I S T)網路
合金融資安行動方案,以確保系統持續營運與 安全框架(C S F)中所提及,包括識別、防
資料安全,並透過金融資安資訊分享與分析 禦、偵測、應變及復原等五大步驟進行識別
中心(F-ISAC)情資分享、金融資安監控中心 與處理風險,避免影響範圍擴大。
(F-SOC)發揮資安聯防綜效。 星展銀行(台灣)指出,在處理事件的
另外,「資安認知能力」,則是要對全 同時,對客戶、媒體的溝通也不可馬虎,應
體員工、供應商、甚至銀行客戶,建立資安防 以消費者權益保護為主,透過適當說明讓
護、人人有責的認知,透過資安教育訓練並與 他們安心,避免恐慌。同時,應隨時掌握
日常作業整合,讓員工們養成資安觀念,進而 駭客的攻擊手法,主動評估與建立預防性措
提高資安意識與維持良好的資安習慣。 施,並透過金融資安聯防體系,共同應對與
對於如何培養資安基本功,蘇家涵則認 防範駭客的攻擊。
為,要從組織面、制度面與技術面三大層面 蘇家涵認為,駭客近年來幾乎以組織
著手,其中在組織面部分,高層的重視 與 全 化 的 方 式 對 目 標 企業進行「A P T進階持續
力支持相當重要,並且編列充分的預算及配 性滲透攻擊」,經由長期滲透潛伏在企業內
置適當的資安人力;至於制度面部分,則應 部,以達到竊取財務的目的,從過去發生的
建立完善的資安事件應變程序;另外在技術 ATM及SWIFT盜領案件、阻斷服務(Distributed
面,應培訓資安人員專業技能,包括滲透測 Denial-of-Service, DDoS)攻擊的勒索行為,金
試、弱點管理、網路攻防與證據保全等。整 融業已受到相當的教訓,更意識到傳統採邊界
體而言,銀行在發展數位金融之餘,也應積 部署防護機制的作法,已不足以防範駭客的攻
極發展自我資安測試與監控能力,才能因應 擊,更應以零信任、無邊界防護的思維,來建
多變的環境與挑戰。 構縱深防禦架構。
至於該如何透過零信任、無邊界防護的
ቊᎡɨ ԘΪᏐɢӨઋࠥ 思維防禦?蘇家涵舉例說明,透過導入紅隊演
練測試、建置資安事件監控中心(SOC)、部
在勤練基本功之餘,當金融業面臨駭客 署APT及EDR等端點偵測及郵件清洗等機制;
60 台灣銀行家2022.2月號
1 5% JOEE