富邦金控資安長蘇清偉在臺灣資安大會的金融資安論壇,分享富邦金控的資安作為。(圖片來源/iThome)

「資安的應變要有速度,才不會白白挨打。」這是警界出身的富邦金控資安長蘇清偉,對於資安應變的體悟。

富邦金控建立了金控層級的電腦資安事件應變小組(Computer Security Incident Response Team,CSIRT),小組成員囊括金控旗下銀行、人壽、產險、證券、行銷、投信等子公司的資安主管。蘇清偉強調:「必須將金控底下各子公司的資安主管拉進小組,才能調度所有資源,來因應資安事件的發生。」

富邦金控內部有一套CSIRT運作與管理制度。平時,每兩個禮拜會定期召開例會來維運CSIRT,並討論及分享資安相關工作議題,報告資安事件查處結果,以及追蹤重大弱點與威脅情資分析與因應。

另外,這個CSIRT小組也會定期審視各項資安防護系統報告,且檢討資安事件及紀錄分析結果,強化及改善防護機制有效性。蘇清偉透露,更利用企業即時通訊軟體,組成應變小組通報及討論群組,即時掌握與討論資安事件,以及分享相關外部資安攻擊事件或情資。

蘇清偉表示,當各子公司發生資安事件後,必須通知金控,並由金控資安長擔任總指揮官,透過CSIRT的機制,掌握事件處理進度,協調及調度集團資源,以降低衝擊影響;此外,金控CSIRT的另一功能,是分享事件情資給旗下各公司,進行整體聯防。

至於事件發生公司,則要依照相關管理辦法及作業程序,判斷事件等級,通報相關單位。其餘子公司則要檢視有無類似情形,依照相關情資進行分析及因應,並管理督導底下子公司及海外營業據點。

富邦金控CSIRT將情資分為4大類別,每類別各有對應情資分析與因應措施

蘇清偉提到,富邦金控的情資來源,包括資安組織如金融資安資訊分享與分析中心、臺灣電腦網路危機處理暨協調中心等各類ISAC,以及系統設備廠商、資安廠商。富邦金控更進一步將情資分為4大類別:入侵威脅指標(IoCs)、弱點漏洞、攻擊手法、外洩資訊,每項類別則有各自的情資分析與因應措施。

像是取得入侵威脅指標的情資後,富邦金控會分析是否有遭受類似探測或攻擊,比如網路連線情形、上網行為、可疑郵件、病毒及惡意程式活動。因應措施則是檢視及強化資安設備偵測、攔阻防護機制,例如更新病毒碼或攔阻模式(pattern),擴充黑名單、強化設定等。

而針對弱點漏洞的情資,富邦也會回頭用來評估自家系統及設備是否受弱點影響,並規畫安全性更新時程、緩解措施、驗證更新與防禦有效性。

若是攻擊手法的情資類別,富邦金控則會分析研究攻擊手法相關的技術與流程,並檢視現有防禦機制是否足夠。因應措施則是強化與導入安全防護機制,辦理相關應變及復原演練。

而收到外洩資訊類別時,則會先研判資料正確性,以及可能外洩的管道。在因應措施上,則會通知如顧客、員工等資料擁有者,加強宣導與教育訓練,甚至也要預防如撞庫攻擊、商業變臉詐騙等。

此外,蘇清偉表示,富邦金控還建置了偵測與應變相關資安分析防禦系統,包括透過資訊安全事件管理平臺(SIEM),來蒐集各項系統設備日誌、制定關聯規則即時告警,定期產出報表,交由資安人員分析與處理資安事件。

富邦金控還建置了APT偵測及防護(EDR)系統,透過網路連線分析、惡意程式檢測、端點偵測回應等,自動化分析可疑APT攻擊活動,甚至還運用了AI技術自動產生事件調查報告。

在外部資安風險管理系統,則以非侵入式方式蒐集數位足跡,檢視對外服務相關安全設定,分析及提供對外暴露的資安風險弱點。

此外,富邦金控也建構了偽冒App及釣魚網站偵測服務,用來即時偵測有無偽冒各公司App、網站或冒用公司名義架設的詐騙或釣魚網站,以及偵測相似的網域名稱。文⊙李靜宜


熱門新聞

Advertisement