跳到主要內容

金融業防駭零信任 兩大關鍵

經濟日報/A11版/金融
記者廖珮君╱台北報導
2024年8月1日   人氣: 1369   開始朗讀

網路安全

為避免駭客透過釣魚網站入侵金融業內網,進而發動攻擊,金管會昨(18)日發布「金融業導入零信任架構參考指引」,有兩大關鍵,一、金融業需將資安防護商品或解決方案做整合,以提早偵測異常、阻斷重大資安事件,二、六大高風險資安場域,希望金融業可優先盤點。

 

台灣金融史上第一次,東歐駭客集團從銀行倫敦一台電話錄音伺服器,橫跨一萬公里,遠端遙控台灣北中兩地,讓大型銀行共41台ATM「自動吐鈔」還派出車手盜領了逾8,300萬元,引發市場譁然。

 

金管會資訊服務處長林裕泰說,推動「零信任」這件事精神就是「永不信任」。不要相信內網有不被入侵的機會。而導入「零信任」不是買新產品或解決方案去替換,而是逐步進階整合。

 

如駭客透過釣魚郵件,侵入內部設備,從內部發布攻擊時候,內網是否可有相當等級的資安防護,當駭客在內部攻擊時,可做適當偵測、攔阻和阻擋。

 

林裕泰說,過去金融業的「零信任」是很大框架,公布該指引是希望藉由明確架構和參考指引,讓金融業不再從個別的「點」來做,是從駭客攻擊的路徑去看。

 

金管會希望各金融業加強兩大方向,將五大資料存取途徑的「點」連成一條線。這五大資料存取途徑是身分、設備、網路、應用程式和資料,而「點」連成「線」,是將駭客攻擊樣態做關聯性分析,以及早偵測。

 

例如駭客偽冒身分登入,會植入其使用設備(例如木馬程式),透過網路做一些探測性行為,再進入應用程式並取得授權,取得關鍵性或機敏性資料。

 

他說,當出現攻擊時,資安防護不能只看一個點,而是要對準到駭客攻擊行為,當每個點所部署資安防護,發生事件時,是否可以集中收集、做關聯分析,依駭客攻擊樣態做對照。

 

這些資安防護機制可以整合,及早發現異常、及早點阻斷一些嚴重資安事件,這就連成了一條線。首要之務,把既有資安防護商品或解決方案,做一些整合。整合就是資安監控機制和事件管理平台中,把一些資訊可做清楚收集做管理分析,找到異常樣態。

 

其次,將以六大高風險場域的地方可以優先強化,優先做盤點。包括遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作等。

 

相關文章

老師,您今天LINE/Instagram了嗎?
老師,您今天LINE/Instagram了嗎?

資訊科技的普及與快速發展,帶給我們這個資訊社會,更多元化的生活形態與視野。原本僅是一個瀏覽器名詞的Google,卻因我們高頻率的使用習慣,成為網路搜尋的同義詞,甚至成為一個動詞(劉祥亞,2010),例如我們常用「Google資料」的說法,來取代上網找資料。而近來,社群網站的盛行,也改變了人們名詞與動詞間的轉換行為,「你今天LINE/Instagram了嗎?」像是每天的問候語,交錯於實體與社會的人際互動。在教室裡,聊不完的話題,回家在LINE上繼續;到餐廳吃飯、去旅遊,甚至看個牙醫,也要打卡、拍照

安全上網守則  網路資訊停看聽
安全上網守則 網路資訊停看聽

數位科技的發展,網際網路的普及,帶給現代人豐富且多元的生活型態。尤其近年來,社群網站與社交軟體的興起,提供人們更多可以分享生活、情感連結的交流空間。透過社交平台,人們可與朋友即時、多元地溝通互動、達到情感支持,增進人際關係;透過社交平台,商家可成立粉絲專頁,利用按讚、打卡的行銷策略,提高店家的能見度;透過社交平台,教師可成立班級社團,張貼班級公告,或與學生、家長互動交流。

相關影片

我買了什麼?
我買了什麼?
雲端硬碟,謹慎存取
雲端硬碟,謹慎存取
謹慎交談
謹慎交談
網路如虎口
網路如虎口

返回網路安全新聞列表

頁首