【臺灣資安大會直擊】純網銀資安如何實現縱深防禦部署策略？將來銀行資訊長周旺暾揭露關鍵

今年臺灣即將迎來3家純網路銀行，不能設立實體分行，完全靠數位通路提供金融服務的純網銀，資安是系統建置的關鍵要素之一。可以從零開始，在全無既有系統包袱下，如何將資安原生植入到銀行資訊架構中，將來銀行資訊長周旺暾今天（8/11）在臺灣資安大會，揭露了純網銀的縱深防禦部署策略。

一開場，周旺暾先提出資訊安全市場的6大迷思，從零開始的純網銀正可以打破這些迷思，來實現更積極的資安作為。

第一大迷思，資訊安全是資訊處的責任。周旺暾提到，資安絕對不是資訊單位單方面的責任，但是，即便是純網銀這樣新的銀行，也面臨這樣的文化挑戰；所以，得由資訊處帶頭做，花更多力氣跟各單位溝通，讓全公司了解資安是所有人的責任。

另一個普遍迷思是，企業以為採購最新、最好、最貴的資安設備，就可以阻擋大多數的駭客。不過，周旺暾觀察到，大部分的資安人員只是想證明自己沒有責任，才選擇了貴的資安設備，不敢買太便宜的產品以免出事。

將來銀行內部在討論資安架構時更發現，很多人都誤以為，只要有防火牆加上一套妥善的VPN，就可以讓通訊變得安全。周旺暾提到，「這是徹底錯誤的觀念」，VPN就像是一把鑰匙，只是用來把關是否持有正確帳號密碼或認證的存取，但它並沒有真正實際確認登入者是誰。這是第三個迷思

一旦進入了銀行的VPN環境後，等於打開了內部所有網路。他解釋，假設一名系統管理者透過VPN登入需要保護的系統，一旦他登入桌面後，其實整個網路是全通。換句話說，病毒或駭客也可以從背地透過這通路，讓駭客程式也跟著爬過去。周旺暾強調，VPN從來不安全，只是像一把鑰匙開啟需要的身分，問題是有無第三者在監看。

周旺暾表示，從銀行角度來看，完全不能接受這樣的狀況發生，所以，純網銀只能用VPN來確認確認身分、確認識別，還得有第二道防線，來確保VPN如何被使用，來進行約束和監控，比如有無駭客私底下默默從VPN爬進去，都是需要監控的地方。

第四件迷思，企業認為，員工定期教育訓練是面對社交工程最好的方法。不過，他提到，這樣還不夠，不只要做好教育訓練，讓員工至少不要犯低級的錯誤，而資安人員還需思考，萬一企業內部員工不小心點進惡意連結，企業下一道防線要如何設計，把攻擊行為阻斷。

另一點迷思是資安工作就是落實內稽內控，周旺暾提到，目前主管機關還是把大部分力量花在內稽內控，雖然這很重要，但不能只有做到這件事情。第六點是管理問題，他提到，所有人都認為被駭客入侵是資安人員的怠惰。可是，當發生事情時，所有人都想盡辦法舉出各種證明自己有善盡管理責任，但沒有人在認真解決問題，而是在想如何讓自己的責任到此為止。

不過，他強調，真正要做的資安是，顧客把身家財產交給銀行，而銀行是否真正確保顧客不會被挾持。若碰到機房發生挾持事件，將來銀行必須做到駭客拿不走任何資料，另外是5分鐘之內要重啟整家銀行，但不付贖金。

資安防護得先了解駭客行為來進行防堵

「資安工作真正的對手，不是會計師與查核人員，而是對企業有興趣的駭客。」周旺暾認為，得從駭客角度著手，充分了解駭客行為的每個過程中，找出防堵的作法。

駭客APT攻擊大致分為6道步驟：偵察、入侵提升權限、命令與控制（C&C）、橫向移動、找到目標、破壞。他表示，大部分系統的基礎資安只做第一道防線，就是設立防火牆，把VPN設在防火牆上面，將內部機器裝上防毒軟體就結束了。

但是，周旺暾提到，第一道防線很容易被駭客攻下，而設計在第一道防火牆後面、第二道防火牆前面的非戰區（Demilitarized Zone，DMZ），就是隨時可能被攻下，同時企業也要在這隨時奪回主控權的地方。但是，很多企業的DMZ是空白的，直接從第一道防火牆打穿到第二道防火牆，中間什麼都不留。

他表示，非戰區越長，表示企業跟駭客拉鋸的空間越大，應該是讓駭客掉進DMZ後，抓到他再把他打出去。整個系統的設計，「非戰區要有非戰區的價值，成為企業跟駭客攻防的主要戰場，而不是單純僅有此區域而無所作為。」

周旺暾進一步指出，其實，駭客進來系統的每一個動作，都會有特別的反應。假設，駭客進入DMZ，第一件事會去提升權限，想辦法取得這臺機器主控權，才能植入程式往下一步走。提升權限後，就會去掃描周邊環境，試著探索其他機器，慢慢一路打下去。

周旺暾提到，駭客這些動作其實有跡可循，當駭客開始探索周邊機器時，會有奇怪的特權帳號被提升、或是莫名產生新的帳號、被植入新的程式、還有開始掃描周邊網路探索其他可能性。當登入錯誤的訊息突然變多時，資安人員要非常緊張了，代表已經有人在內部展開橫向探索。他建議，資安人員得在系統內部找到特徵，趕快把有問題機器找出來，讓機器下線或是把機器控制權收回來。

企業從發現到消滅駭客的時間必須縮短

周旺暾表示，銀行應該要做到積極的資安，目標是防堵駭客的攻擊，而非只是修補掃描程式發現的漏洞。他也認為，教育訓練是提高到全民資安的手段，而非只是例行公事。另外是，倘若企業員工誤觸惡意連結，資安人員也要有本事攔阻，就算攔不下來，病毒發作時也能及時看到並直接阻斷。所以，得設立許多感測器在環境中，來追蹤哪些機器有奇怪的行為。

不過，天下沒有攻不破的城池，即便資安做得再完整仍有可能被攻破。他表示，目標得在最短時間消滅敵人，從駭客發動攻擊，企業發現駭客，到消滅敵人的時間都必須要縮短。

另外是最重要的客戶的交易與資料，要保存在銀行最深處，且在遙遠的一方有一個即時的複本。周旺暾提到，複本目的是一旦其中一個機房決定棄守，另一個機房可以在短時間內開起來，持續提供服務給顧客。

他表示，將來銀行在資安的佈局上，不單只要考慮資安設備、資安手段，還得考慮銀行在做這件事，能達到何種成果。這時，基礎架構團隊、資安團隊就會一起合作，設計出對銀行有意義的系統，他們也總結出了3大原則。

將來銀行資安佈局三大原則

第一原則是，零信任工作環境。周旺暾解釋，銀行行員的工作環境是不可被信任的，所以，只要電腦要操作交易或是顧客個資等機敏資料的處理，都必須經過跳板到另一個安全的環境工作，不會在行員的個人電腦完成。

另外是，所有機敏資料都無法下載到個人電腦，因為機敏資料永遠不能離開資料中心，得要完全進行隔離，即便行員也無法取得顧客的個資清單。如此一來，他表示，便能讓駭客的社交工程停留在行員的個人電腦，沒有機會爬進資料中心。而這樣的設計，還有一個好處，一旦在行員的個人電腦發生任何狀況，資安人員能直接收走電腦，鑑識駭客如何駭入。

第二個原則是，除了縱深防禦，將來銀行更多做了橫向隔離。周旺暾解釋，讓所有應用系統之間看不到彼此，只能透過API溝通，就像航空母艦一樣的隔離設計，即便其中一個船艙被雨雷打到破了洞，被海水灌滿之外，整艘船仍能正常運行。他提到，在設計目標上，是希望假設每個應用系統一旦不小心遭感染時，可以直接把該應用區直接下線，換一套新的上來。

比如說，假設HR系統或會計系統被攻擊，就只會在這個區域被感染；也因為所有應用程式與資料全部虛擬化，所以，只要將虛擬機離線即可，在最短時間內重新部署一套全新的系統。周旺暾提到，將來銀行完全不用實體機，因為部署時間太長，所以，採用百分之百虛擬化環境，可以在機房隨時開通一套新系統，光是現在進行核心系統測試，就開通了好幾套。

同時，在縱深防禦與橫向隔離的架構中，要考慮到非戰區（DMZ）的價值，以及讓系統與系統之間互相不被感染，以及災損如何在最短時間內控制。

周旺暾透露，將來銀行會營運一套的7x24的資安戰情中心，因為駭客進來的時間，都不是銀行想像的，全世界駭客可能從不同時區來攻擊。「既然純網銀是24小時營運，就要24小時監控。」他強調，得監控每一臺機器奇怪的行為。目的是讓監控發生效果，同時，在設計架構時也考慮到如何讓事件快速跳出。

比如，只要發生任何提升權限的事件，就會馬上發出紅色警戒，前提是不能發出假訊號。所以，在系統設計上，沒有任何管理工作靠特殊權限完成，也就是日常性的維護，不管是備份、帳號設定、資料轉移，都不用最高權限，而是一個權限只能做一個事情。

「當整個機房沒有特權帳號存在時，任何一個特權帳號被提升起來，或是一個使用者被賦予特權帳號時，就是紅色警戒，因為它不應該出現。」周旺暾強調，用這方法能快速鎖定真正的異常。

除了24小時防禦，將來銀行也會透過AI輔助偵測異常。預計先讓AI學習系統的網路環境、連線方式，再用這套模型回來偵測未來的環境，就可以很快發現差異。

周旺暾提到，將來銀行資安防護的目標是，系統即便被攻擊，也要能在最短時間內修復，最好是能在非戰區解決所有戰爭。更採取雙中心制，主要是作為異地備援，他指出，兩邊中心權限完全隔離，不共用權限，所有登入都要分開，程式碼也是兩邊同時部署。透過這方式，讓兩個中心雖然對稱，但是權限完全不為被複製或感染，其中一個中心才能發揮備援的效果。他更透露，開業之後會考慮規劃建置第三中心。文⊙李靜宜