2024 SIP 金融高峰論壇完美落幕 助金融產業落實零信任及金融業組態

為確保金融系統營運不中斷，提供民眾安心交易環境的前提下，金管會發布「金融資安行動方案」2.0 版，建議金融產業評估導入完成零信任架構，達到提升整體資安防護力。而曜祥網技 SIP 平臺則是金融企業實踐零信任的最佳方案。

在創新金融科技湧現下，金融產業加快推動轉型的速度，以便讓消費者享有更多元金融服務，落實普惠金融的願景。然而在駭客攻擊威脅持續增溫，加上烏俄戰爭引爆的地緣政治風險，促使各國政府制定更嚴格的法規，台灣地處地緣政治風險威脅，台灣的金融監督管理委員會除了要讓金融產業在克服資安威脅之外，也同時強力要求落實各種法規，不定期查核以因應台灣可能面臨任何數位金融之資訊安全穩定因應民生企業國家整體維運否則恐怕影響到台灣長期的金融及數位金融的長遠發展。
為協助金融企業因應來自四面八方的挑戰，曜祥網技特別在 2024 年 2 月及 3 月各依不同金融產業舉辦「2024 SIP 金融高峰論壇」，聚焦資安治理、資訊資產與營運可視化管理等兩大主軸。本場活動邀請多位專家到場分享最新趨勢、曜祥網技SIP 平臺特色，以及使用 SIP 平台的成功案例，也吸引爆滿專業金融人士與會，期盼從中掌握因應各種挑戰的秘訣。
曜祥網技指出，在駭客攻擊手法多變下，零信任已經被認為是防堵資安威脅的最佳方案，臺灣政府亦規劃推動政府零信任網路。SIP 平臺設計之初，即是採用符合 NIST 資安規範的零信任架構的資安防護概念，所以已成功協助眾多金融機構解決資安問題，絕對是企業落實零信任架構的最佳選擇。

防護範圍涵蓋前、中、後三階段 輕鬆實踐零信任架構
隨著公有雲服務、遠距辦公等議題興起，傳統於閘道端部署防火牆、IPS 等資安防護觀念，早已難以因應資安邊界日益模糊的挑戰。近年來興起的零信任概念，訴求在任何連線連線、裝置、身份等在通過驗證之前，都採取不信任的態度，所以被認為是防堵惡意威脅入侵最佳方案。為協助企業與公部門運用零信任架構防堵未知威脅， 美國國家標準與技術研究院NIST公布零信任架構的參考指引「SP 800-207」，提供完整的建議與實作概念。NIST SP 1800-35 文件則是作為部署參考，建議可從 Assessment、Risk Assessment、Deployment、Operations 等階段著手，輕鬆實踐零信任架構的願景。
曜祥網技技術經理黃士滄表示，市面上有許多專為零信任架構設計的解決方案，然我們是臺灣唯一一家同時間擁有零信任三階段解決方案的廠商，並且符合 NIST 及國家資通安全研究院的零信任架構，且於系統轉換過程可同時掌握企業網路整體的合規檢視狀態。我們推出的全新零信任管理系統模組涵蓋 TPM 設備鑑別管理系統、Score-Base 信任推斷管理系統、FIDO 身份識別管理系統，其中前兩項正在國家資通安全研究院功能符合性驗證中，而 FIDO 模組則將在近期正式發表。
目前廣泛被眾多企業產業的曜祥網技 SIP 平臺，是套涵蓋事前、事中、事後等自動化防護機制，可助企業輕鬆實現零信任架構。此平臺除可偵測與收集內部網路中各種設備的 IP 位址與 MAC 等資訊外，也能整合來自不同資安設備產生的資訊，並自動阻斷高風險設備的連線。最後，曜祥網技 SIP 平臺在發現設備遭到惡意程式感染時，也可自動針對該設備立即進行微隔離，堪稱是運用零信任架構全面防堵各種潛在威脅與惡意攻擊的最佳選擇。

回歸資安管理基本原則 落實金融資安行動方案 2.0
在金融科技持續湧現下，加上全球資安情勢變化日益嚴峻，金管會為確保金融系統營運不中斷，提供民眾安心交易環境的前提下，發布「金融資安行動方案」2.0 版，期能強化金融業資安防護能力。在以擴大適用、落實與深化、鼓勵前瞻為持續精進方向，訂有 40 項措施，其中新增資安措施計 12 項、擴大適用範圍計 5 項、持續性措施計 23 項，並鼓勵零信任網路部署，強化連線驗證與授權管控。而曜祥網技 SIP 平臺深受眾多金融機構採用的主因，在於能輕鬆完成零信任架構，達到提升整體資安防護力，堪稱是落實金融資安行動方案 2.0 版的最佳選擇。
以某知名金融機構為例，該公司過往面臨美國當地分行之金融資安查核時難以掌握整體資訊資產的設備數量狀況，最終導致花很多時間盤點但會計師查核時數量資訊又對不上無法落實資訊管理及資安治理、政策等挑戰。後來導入曜祥網技 SIP 平臺之後，不光透過自動化盤點機制掌握成端點設備數量，也可順利建置資安管理資訊平臺。
早期該金融客戶受限於工具上的限制，只能每年進行一次資產盤點，缺乏對應內網資訊及內網資安事後矯正與預防，自然很難達成 F-ISAC 對即時威脅通報回應的要求。現今改用曜祥網技 SIP 平臺後，即可達成掌握最新設備數量與健康狀況外，亦可依照員工權限落實存取管控的政策，並將相關資訊提供給 SIEM 平台。除此之外，SIP 平臺也具備自動化報表產製功能，可做為全球內部控制查核及優化設備資安管理使用，並且自動隔離異常設備，有助於加速 SIEM 團隊的反應時間和降低處理人力成本，輕鬆提升整體資安防護品質。
目前該公司資安維運團隊除即時掌握公司整體的資安狀況，改善過往無法即時回報事件的問題後，輕鬆因應 F-ISAC的規範，達成資安管理 PDCA 要求。因應金管會推動金融資安行動方案 2.0 版，該公司將進一步運用曜祥網技 SIP 平臺建立企業資安政策管理績效指標，全力相關資安政策能完全落實，符合金管會的要求。
勤業眾信風險管理諮詢股份有限公司資深執行副總經理陳鴻棋指出，零信任推動成功關鍵要素，在於落實「零信任架構策略藍圖」、「選定先行導入場景」與「跨單位溝通與合作」等三大工作，唯有如此才能提升資安治理成熟度。面對駭客攻擊常態化的趨勢，企業應該要回歸資安管理基本原則，透過 PDCA 落實資安基本功，進而持續改善資安管理流程。

曜祥網技在市場已經累積 300 家以上的大型客戶，遍及全球 30 個國家以上，產業涵蓋金融業、全球運營製造廠、政府機構、電信龍頭、醫療產業、國防單位等，深受不同領域的用戶肯定。在資安與 ESG 浪潮下， 曜祥網技將持續投入創新研發工作，助 各產業強化資安韌性、 提升資安治理成熟度。