星展銀行(臺灣)資訊處協理翁振榮表示,企業無法單靠單一資安產品獲得百分之百的保障,透過多層次防禦的概 念,在不同的關卡部署適當的資安產品,透過反覆確認與 檢視的機制,才能讓企業達成一個安全平衡的局面。

新加坡最大銀行星展銀行在面對韓國3月20日遭駭客攻擊事件,星展銀行新加坡總部立即要求全球有合作關係的資安廠商,提供手邊最新調查報告,由總部分享給全球分公司資安同仁,做到在第一時間掌握韓國駭客攻擊事件的發展經過。

星展銀行(臺灣)資訊處協理翁振榮表示,「他山之石、可以攻錯」,從別人的經驗中學習,回頭檢視既有資安政策與相關IT部署與設計,是否還有進一步調整的空間,是星展銀行面對各種資安威脅一貫的態度。

強調縱深防禦,採多層次、多品牌資安解決方案

分散風險是銀行資安的最高準則,星展銀行落實軍事戰略上的縱深防禦,藉由多層次、多品牌資安解決方案,降低企業面臨的資安風險。以企業防毒角度來看,多數企業會在伺服器端和使用者端安裝相同防毒軟體,除品牌外,有時候也與採購成本相關。

翁振榮便以星展銀行部署企業防毒的策略為例,分別在伺服器端、使用者端、Web端和電子郵件端,部署不同品牌的防毒產品,透過不同層次的安全防護,避免有任何一道環節因不慎或疏忽遭惡意程式攻陷後,導致企業內部安全失守。

他指出,企業安全無法單靠單一資安產品,獲得百分之百的安全,在不同的關卡部署適當的資安產品,透過反覆確認與檢視機制,讓企業達成一個安全平衡的局面。

限縮特權使用者權限,沒有預設的信賴關係

除了縱深防禦外,翁振榮說,星展銀行特別重視特權帳號的監管,為了確保銀行運作的安全,所謂的「信賴關係」都是有限度且被監控的。他以內部系統為例,當A系統要接收來自B系統的要求(Request)時,不會出現A系統預設相信B系統,所有的需求都必須經過申請和確認後才能生效,而且是有時間性的。

一般而言,企業對原廠更新程式的派送,預設都是信賴甚至是自動化的,但翁振榮表示,對銀行各種系統而言,不應有預設相信的信賴關係,所有的派送或更新,都須經測試環境測試無誤,且對整體金融系統運作不會造成傷害後,才允許安裝到正式的作業環境中。不只如此,所有系統的上版與變更,必須在嚴格的監控流程下進行,確保企業內的更新程式是安全可信的。為了確保機敏的銀行系統安全,他認為,所有資安信賴機制或服務,都應以「不信任」為前提檢查後,才能接受該資安信賴機制或服務。

星展銀行拒絕讓Administrator帳號成為Super User,擁有最高存取權限。他說,為了避免高權限Administrator帳號遭竊,導致企業內部安全失守,星展銀行嚴格限制使用者權限,例如,有權限開設帳號的人,就不具系統存取權限,區隔特權使用者與功能使用者的角色與職權。

為了避免密碼長時間暴露造成的風險,翁振榮指出,所有特權帳號必須經過申請,並被適當監控。他強調,這樣的特權帳號壽命甚至只有數小時而已,當這個特權帳號在全程監控的前提下,完成所需要的任務後,這個特權帳號就會被取消、不復存在。

預防勝於治療,擬定並落實緊急應變計畫

翁振榮表示,此次韓國新韓銀行記取先前教訓,重新檢視其營運持續計畫(BCP),才能在遭受攻擊1小時後,就恢復銀行大體運作。星展銀行則再度檢視既有的營運持續計畫,是否還有修正和調整的空間,他認為,透過模擬銀行的緊急應變流程、所需人力,及災後重建復原狀況,若遇到類似攻擊時,就知道既有的IT系統與部署是否還需要調整,是否可以順利災後復原。

翁振榮表示,除了持續性蒐集各種資安風險資訊,並提升員工資安意識外,總部和各分公司每半年都會重新檢視既有資安政策看是否需要調整,像先前全球網路犯罪橫行,該公司也針對網路犯罪制定專章以為因應。

翁振榮也提醒,星展銀行非常在意所有的IT或資安委外,除了確保應該有的服務水準協定(SLA)外,對於相關的安全規範,也都有嚴格的要求與監督。他認為,IT或資安委外廠商必須和企業一起成長,對資安有共識,才能共同面對複雜的資安威脅,進而找出因應之道。

熱門新聞

Advertisement