面對金融科技快速發展與網路攻擊風險增高趨勢,隨著政府在8大關鍵基礎設施成立ISAC,建立國家級資安聯防架構,由金融監督管理委員會(金管會)推動的F-ISAC(資安資訊分享及分析中心),成立至今即將滿三年,從情資共享的威脅預警,到應變協處與監控防護,整體產業資安聯防架構已然成形,參與會員數已達376家(至2020年8月),這當中已包括國內所有的銀行與保險公司,同時也有證券、期貨、投信投顧業者,以及Fintech發展推動計畫中的業者加入。
將進一步打造監控組態基準與成熟度機制
在10月底,金管會資訊服務處處長蔡福隆揭露了他們最新的資安聯防三大計畫,包括自動化演練、資安監控組態與成熟度評估。
第一,建置自動化網路攻防演練場域。
基本上,這個演練場域的目的,在於驗證資安防護策略與資安事件緊急應變程序的有效性。蔡福隆表示,演練就是希望能夠了解駭客的攻擊手法,也就是透過自動化腳本的攻擊模擬,讓防守方的受訓人員訓練偵測與攔阻的資安防護技術。由於他們之前都是以人工的方式來模擬攻擊,他表示,之後利用自動化的攻擊模擬平臺,好處在於可以增加訓練的場次。
其次,是建置金融資安監控中心,這部分將有兩個發展重點,蔡福隆指出,包括訂定資安監控作業標準,以及建置二線SOC(資安事件監控中心)。
在8月舉行的臺灣資安大會上,金管會主任委員黃天牧提到這件事,到了10月,蔡福隆說明更多現行進展:他們正研擬資安監控组態基準及作業指引,已討論出95項規格,包括需要蒐集那些日誌資料等,才能有辦法有效監控,未來並將利用鎖定金融業的APT37、APT38駭客組織攻擊手法,來強化監控組態基準的規則;而在第一線金融機構要建立自身的監控中心之外,F-ISAC建立二線的監控,將導入系統化分析機制,分析事件資訊關聯性及風險程度,以識別我國金融領域潛在資安威脅及風險。
第三,是建置金融機構資安治理成熟度評估機制。
近年來,資安成熟度的概念已成主流,現在我們看到金管會也期望推動相關機制,而他們又是如何進行?蔡福隆表示,今年他們已經找了11家金融機構開始試行,同時,他們也根據美國聯邦金融機構檢查委員會(Federal Financial. Institutions Examination Council,FFIEC),所頒訂的網路安全評估工具(Cybersecurity Assessment Tool),讓金融機構可以評估其網路安全風險和防護狀態,希望藉此了解國內金融機構資安治理的程度,並跟國外相互比較,以更精進資安治理。
提升金融產業資安防護水準,從情資到演練及教育
對於F-ISAC在這三年的成果,蔡福隆也列出具體進展。例如,在情資分享方面,中高風險為情資累計發布達798則,包括金融資安事件、高風險資安漏洞、駭客攻擊手法等,另外,F-ISAC也提供偽冒金融網站與App,以及商業電子郵件詐騙BEC等情資,強化資安聯防。
對於DDoS與勒索軟體攻擊趨勢,以及針對ATM、SWIFT的情資,也是F-ISAC關心的焦點。以DDoS威脅而言,金融業在2018年4、5、11月,以及2019年10、11月,都發生多家業者遭攻擊的事件,大家都不敢輕忽,而他們也曾邀請10家金融業者參與DDoS攻防演練,包含瞬間大量與間歇性持續攻擊方式,測試電子交易網站之可用性與防護能力。
在教育訓練方面,F-ISAC舉辦24場資安研討會,以及8個梯次的威脅獵捕實作課程,較特別的是,還有兩場針對高風險或重大事件的閉門會議,因應SWIFT交易系統資安與IBM大型主機異常事件處理。
關於國際合作方面,他們在2018年與美國FS-ISAC合作,成為其全球情資分享體系會員,在2019年,也與日本F-ISAC簽署合作協議,並與歐盟FI-ISAC、以色列CERT-IL及南韓FSI建立情資交換管道。
至於成功推動F-ISAC的經驗,蔡福隆也整理出幾個重點,包括金融機構的信賴,例如建立營運規範及TLP燈號,監理機關保證不介入會員通報,以及公權力適度介入以求落實,此外還要有執行單位與金融機構都要能夠投入,包括臨時需求的配合與國際合作,以及業者要有專責單位與專業人力。
此外,過去其實官方還有提到需持續營造與會員之間信任感,要會員也能主動貢獻情資,不過在這次成效發表中未提到這點,應是會員們也要共同努力的目標,才足以讓整個生態朝向正面發展。
關於F-ISAC的營運,也是外界關注焦點,目前委由財金資訊負責,初期經費來源由行政院科技計畫預算挹注,這三年經費分別是2018年4,600萬元,2019年3400萬元,2020年3,800萬元,計畫將於2020年底屆期。為使持續穩健營運,因此,後續F-ISAC將向會員收取費用,在今年6月,收費標準草案已經出爐,除16家金控主體的年費20萬元,並以資產規模畫分不同會費級距。未來,收費機制將專款專用,並將成立委員會監督。
熱門新聞
2024-12-16
2024-12-16
2024-12-16
2024-12-17