將來銀行資訊長周旺暾。

圖片來源: 

iThome

今年臺灣即將迎來3家純網路銀行,不能設立實體分行,完全靠數位通路提供金融服務的純網銀,資安是系統建置的關鍵要素之一。可以從零開始,在全無既有系統包袱下,如何將資安原生植入到銀行資訊架構中,將來銀行資訊長周旺暾今天(8/11)在臺灣資安大會,揭露了純網銀的縱深防禦部署策略。

一開場,周旺暾先提出資訊安全市場的6大迷思,從零開始的純網銀正可以打破這些迷思,來實現更積極的資安作為。

第一大迷思,資訊安全是資訊處的責任。周旺暾提到,資安絕對不是資訊單位單方面的責任,但是,即便是純網銀這樣新的銀行,也面臨這樣的文化挑戰;所以,得由資訊處帶頭做,花更多力氣跟各單位溝通,讓全公司了解資安是所有人的責任。

另一個普遍迷思是,企業以為採購最新、最好、最貴的資安設備,就可以阻擋大多數的駭客。不過,周旺暾觀察到,大部分的資安人員只是想證明自己沒有責任,才選擇了貴的資安設備,不敢買太便宜的產品以免出事。

將來銀行內部在討論資安架構時更發現,很多人都誤以為,只要有防火牆加上一套妥善的VPN,就可以讓通訊變得安全。周旺暾提到,「這是徹底錯誤的觀念」,VPN就像是一把鑰匙,只是用來把關是否持有正確帳號密碼或認證的存取,但它並沒有真正實際確認登入者是誰。這是第三個迷思

一旦進入了銀行的VPN環境後,等於打開了內部所有網路。他解釋,假設一名系統管理者透過VPN登入需要保護的系統,一旦他登入桌面後,其實整個網路是全通。換句話說,病毒或駭客也可以從背地透過這通路,讓駭客程式也跟著爬過去。周旺暾強調,VPN從來不安全,只是像一把鑰匙開啟需要的身分,問題是有無第三者在監看。

周旺暾表示,從銀行角度來看,完全不能接受這樣的狀況發生,所以,純網銀只能用VPN來確認確認身分、確認識別,還得有第二道防線,來確保VPN如何被使用,來進行約束和監控,比如有無駭客私底下默默從VPN爬進去,都是需要監控的地方。

第四件迷思,企業認為,員工定期教育訓練是面對社交工程最好的方法。不過,他提到,這樣還不夠,不只要做好教育訓練,讓員工至少不要犯低級的錯誤,而資安人員還需思考,萬一企業內部員工不小心點進惡意連結,企業下一道防線要如何設計,把攻擊行為阻斷。

另一點迷思是資安工作就是落實內稽內控,周旺暾提到,目前主管機關還是把大部分力量花在內稽內控,雖然這很重要,但不能只有做到這件事情。第六點是管理問題,他提到,所有人都認為被駭客入侵是資安人員的怠惰。可是,當發生事情時,所有人都想盡辦法舉出各種證明自己有善盡管理責任,但沒有人在認真解決問題,而是在想如何讓自己的責任到此為止。

不過,他強調,真正要做的資安是,顧客把身家財產交給銀行,而銀行是否真正確保顧客不會被挾持。若碰到機房發生挾持事件,將來銀行必須做到駭客拿不走任何資料,另外是5分鐘之內要重啟整家銀行,但不付贖金。

資安防護得先了解駭客行為來進行防堵

「資安工作真正的對手,不是會計師與查核人員,而是對企業有興趣的駭客。」周旺暾認為,得從駭客角度著手,充分了解駭客行為的每個過程中,找出防堵的作法。

駭客APT攻擊大致分為6道步驟:偵察、入侵提升權限、命令與控制(C&C)、橫向移動、找到目標、破壞。他表示,大部分系統的基礎資安只做第一道防線,就是設立防火牆,把VPN設在防火牆上面,將內部機器裝上防毒軟體就結束了。

但是,周旺暾提到,第一道防線很容易被駭客攻下,而設計在第一道防火牆後面、第二道防火牆前面的非戰區(Demilitarized Zone,DMZ),就是隨時可能被攻下,同時企業也要在這隨時奪回主控權的地方。但是,很多企業的DMZ是空白的,直接從第一道防火牆打穿到第二道防火牆,中間什麼都不留。

他表示,非戰區越長,表示企業跟駭客拉鋸的空間越大,應該是讓駭客掉進DMZ後,抓到他再把他打出去。整個系統的設計,「非戰區要有非戰區的價值,成為企業跟駭客攻防的主要戰場,而不是單純僅有此區域而無所作為。」

周旺暾進一步指出,其實,駭客進來系統的每一個動作,都會有特別的反應。假設,駭客進入DMZ,第一件事會去提升權限,想辦法取得這臺機器主控權,才能植入程式往下一步走。提升權限後,就會去掃描周邊環境,試著探索其他機器,慢慢一路打下去。

周旺暾提到,駭客這些動作其實有跡可循,當駭客開始探索周邊機器時,會有奇怪的特權帳號被提升、或是莫名產生新的帳號、被植入新的程式、還有開始掃描周邊網路探索其他可能性。當登入錯誤的訊息突然變多時,資安人員要非常緊張了,代表已經有人在內部展開橫向探索。他建議,資安人員得在系統內部找到特徵,趕快把有問題機器找出來,讓機器下線或是把機器控制權收回來。

企業從發現到消滅駭客的時間必須縮短

周旺暾表示,銀行應該要做到積極的資安,目標是防堵駭客的攻擊,而非只是修補掃描程式發現的漏洞。他也認為,教育訓練是提高到全民資安的手段,而非只是例行公事。另外是,倘若企業員工誤觸惡意連結,資安人員也要有本事攔阻,就算攔不下來,病毒發作時也能及時看到並直接阻斷。所以,得設立許多感測器在環境中,來追蹤哪些機器有奇怪的行為。

不過,天下沒有攻不破的城池,即便資安做得再完整仍有可能被攻破。他表示,目標得在最短時間消滅敵人,從駭客發動攻擊,企業發現駭客,到消滅敵人的時間都必須要縮短。

另外是最重要的客戶的交易與資料,要保存在銀行最深處,且在遙遠的一方有一個即時的複本。周旺暾提到,複本目的是一旦其中一個機房決定棄守,另一個機房可以在短時間內開起來,持續提供服務給顧客。

他表示,將來銀行在資安的佈局上,不單只要考慮資安設備、資安手段,還得考慮銀行在做這件事,能達到何種成果。這時,基礎架構團隊、資安團隊就會一起合作,設計出對銀行有意義的系統,他們也總結出了3大原則。

將來銀行資安佈局三大原則

第一原則是,零信任工作環境。周旺暾解釋,銀行行員的工作環境是不可被信任的,所以,只要電腦要操作交易或是顧客個資等機敏資料的處理,都必須經過跳板到另一個安全的環境工作,不會在行員的個人電腦完成。

另外是,所有機敏資料都無法下載到個人電腦,因為機敏資料永遠不能離開資料中心,得要完全進行隔離,即便行員也無法取得顧客的個資清單。如此一來,他表示,便能讓駭客的社交工程停留在行員的個人電腦,沒有機會爬進資料中心。而這樣的設計,還有一個好處,一旦在行員的個人電腦發生任何狀況,資安人員能直接收走電腦,鑑識駭客如何駭入。

第二個原則是,除了縱深防禦,將來銀行更多做了橫向隔離。周旺暾解釋,讓所有應用系統之間看不到彼此,只能透過API溝通,就像航空母艦一樣的隔離設計,即便其中一個船艙被雨雷打到破了洞,被海水灌滿之外,整艘船仍能正常運行。他提到,在設計目標上,是希望假設每個應用系統一旦不小心遭感染時,可以直接把該應用區直接下線,換一套新的上來。

比如說,假設HR系統或會計系統被攻擊,就只會在這個區域被感染;也因為所有應用程式與資料全部虛擬化,所以,只要將虛擬機離線即可,在最短時間內重新部署一套全新的系統。周旺暾提到,將來銀行完全不用實體機,因為部署時間太長,所以,採用百分之百虛擬化環境,可以在機房隨時開通一套新系統,光是現在進行核心系統測試,就開通了好幾套。

同時,在縱深防禦與橫向隔離的架構中,要考慮到非戰區(DMZ)的價值,以及讓系統與系統之間互相不被感染,以及災損如何在最短時間內控制。

周旺暾透露,將來銀行會營運一套的7x24的資安戰情中心,因為駭客進來的時間,都不是銀行想像的,全世界駭客可能從不同時區來攻擊。「既然純網銀是24小時營運,就要24小時監控。」他強調,得監控每一臺機器奇怪的行為。目的是讓監控發生效果,同時,在設計架構時也考慮到如何讓事件快速跳出。

比如,只要發生任何提升權限的事件,就會馬上發出紅色警戒,前提是不能發出假訊號。所以,在系統設計上,沒有任何管理工作靠特殊權限完成,也就是日常性的維護,不管是備份、帳號設定、資料轉移,都不用最高權限,而是一個權限只能做一個事情。

「當整個機房沒有特權帳號存在時,任何一個特權帳號被提升起來,或是一個使用者被賦予特權帳號時,就是紅色警戒,因為它不應該出現。」周旺暾強調,用這方法能快速鎖定真正的異常。

除了24小時防禦,將來銀行也會透過AI輔助偵測異常。預計先讓AI學習系統的網路環境、連線方式,再用這套模型回來偵測未來的環境,就可以很快發現差異。

周旺暾提到,將來銀行資安防護的目標是,系統即便被攻擊,也要能在最短時間內修復,最好是能在非戰區解決所有戰爭。更採取雙中心制,主要是作為異地備援,他指出,兩邊中心權限完全隔離,不共用權限,所有登入都要分開,程式碼也是兩邊同時部署。透過這方式,讓兩個中心雖然對稱,但是權限完全不為被複製或感染,其中一個中心才能發揮備援的效果。他更透露,開業之後會考慮規劃建置第三中心。文⊙李靜宜

 

熱門新聞

Advertisement