2022 美台金融資安論壇：數位轉型下的資安再造

自 2017 年 IDC 提出數位轉型 (Digital Transformation) 的論述後，各產業無不積極投入數位經濟的發展，透過雲端、巨量資料 (Big Data)、物聯網 (IoT)、Web services 等現代化的 IT 科技，改造企業的業務流程與獲利引擎，甚至串起上下游產業鏈，縮短產品開發到上市的時程，更需要跨領域、跨單位整合。

因此，當金融產業擁抱數位經濟的未來之時，同時間也增加了許多可能會被駭客突破的破口，例如近年來肆虐全球的勒索軟體攻擊，以及橫跨產業鏈的供應鏈攻擊如 SolarWinds 等等，考驗著金融產業的內控機制與防禦攻擊的能力。

有鑑於此，AIT 美國在台協會商務組特與經濟部國際合作處、中小企業處共同舉辦《美台金融資安論壇－數位轉型下的資安再造》，針對 2022 年金融資安趨勢深入剖析，協助台灣金融業在數位轉型的潮流下，擁有穩定又安全的資訊環境。

美國在台協會 (AIT) 商務官薄康霖：期許 TICC 能強化台美供應鏈資安

美國在台協會 (AIT) 商務官薄康霖 (Clint Brewer) 表示美國極重視供應鏈資安，為加強美台兩方於此領域的合作，去年底（2021 年 12 月）已共同宣布啟動美台科技貿易合作組織 (TTIC)，TTIC 期許能強化台灣在半導體、電動車、綠能、5G 通訊等關鍵產業的供應鏈資安，同時也有助強化美台雙邊貿易、投資及相關產業合作。

在各種關鍵產業中以金融業尤為明顯，金融犯罪執法網路 (FinCEN) 發布的可疑活動報告指出，僅在去年上半年全球便已支付達 5.9 億美元的勒索軟體贖金，相較於前年全年亦僅 4.16 億美元，且此趨勢持續攀升中。為此美國最大銀行每年挹注超過 10 億美元來強化資安，並運用人工智慧技術以強化威脅偵測。

經濟部國際合作處處長廖浩志：
金融最重要的「信任」價值若被資安威脅侵害，後果將難以想像

經濟部國際合作處處長廖浩志表示，近年來台美關係不斷升溫，雙方在經貿、科技、產業、國防、安全等領域都有廣泛密切的合作，而今日經濟部與美國在台協會合辦的論壇也是展現台美合作的良好關係。藉由合作，將能使供應鏈更加的多元也更具韌性，也基於此一良好合作，後續經濟部將與美國在台協會共同舉辦更多論壇。

而眾所皆知，金融為我國八大關鍵基礎設施之一，因此維持金融資安將相當重要，舉實例而言，2016 年孟加拉中央銀行被駭客轉出 10 億美元，危害已開始顯露，而近期的烏俄戰爭，烏克蘭方入侵俄羅斯提款機使其停擺無法提款，顯示資安問題已從企業組織影響到一般人民的生活。

更令人擔憂的是，金融正加速數位化，如果金融最重要的價值「信任」被資安威脅所侵害影響，後果將是難以想像的。

金管會資訊處處長蔡福隆：運用「公私協力」方式讓金融資安更完備

金融監督管理委員會 (FSC) 資訊服務處處長蔡福隆指出，金融業正面臨極高的資安風險，駭客透過各種手法試圖竊取金融資產與個資，或用 DDoS 攻擊癱瘓金融運作，或運用勒索軟體勒索贖金等。

為了強化資安我國金融業已投入大量資源，蔡處長引用工研院的資料分析，2020 年我國資安市場為 596 億元新台幣，其中金融業就佔近 1/3 強，約 192 億，顯現金融業對資安的重視。

除了資源挹注外，處長也建議運用「公私協力」方式讓金融資安更完備，例如用協力方式來建立重視資安的組織文化，從而增加人力與相關資源的投入，或建立起金融領域專屬的資安資訊分享與分析中心 (F-ISAC)，一旦有某一金融業者接觸到新的威脅攻擊樣態，可透過中心快速分享通報給其他金融同業，使產業整體防護力獲得提升。

專題演講：紫紅藍隊攻防戰

HITCON 創辦人徐千洋與可立可資安執行長林逸，共同用情境敘事的方式來說明紫隊演練的價值與重要性。首先由林逸說明了為何今日企業購置多種資安防護軟硬體以期強化資安，接著徐千洋說明某一金融業自組的資安藍隊雖有防護貢獻但仍有欠缺，故期望透過紅隊演練找出防護上的盲點，董事會對此有意見，認為已花大筆運算購置設備、組建團隊為何還要演練？以及會否因為演練反而讓門戶洞開？

同時紅隊多追求自我入侵技術的極致突破，一旦成功入侵多傾向更廣更深的滲透，紅隊因而可能知道企業極高的敏感資訊，成為企業日後的隱憂，且紅對簿會透露入侵手法，使用極致手法入侵，藍隊正規常規防禦多難招架，不明技術事理者可能因此認為藍隊無能，無法公允評判藍隊的防護貢獻。

「這時就需要紫隊技術稽核的角色。」徐千洋說明：紫隊不參與攻防，只作為演練過程中紅隊與藍隊間的協調監督者，負責記錄攻防過程，給予攻防雙方公允的評判，肯定攻擊技術也肯定防護投資價值。

林逸接續補充：就花費角度而言藍隊最高，畢竟企業時時投入防護預算，次之是短時間模擬演練的紅隊服務，而紫隊為最低，重點放在如何讓演練活動更具後續防護補強提升的價值。

雖然紫隊有助良性演練，但現行資安單位卻難以適任，包含立場因素與技術因素，若由紅隊或藍隊來延伸扮演紫隊，自然不願受公正評判，例如發現防護破口，以藍隊立場自是盡可能隱瞞或淡化，或反過來強調偏鋒攻擊很尋常，以放大紅隊立場的價值貢獻。

另外 SOC/MSSP 等資安委外服務商也不適合，一旦發現缺漏，有可能把問題推到企業自身的防護設備上；或者資安軟體的服務商也不適合，服務商多僅專注於軟體相關服務，未必理解駭客攻擊技術，且在發現防護軟體有缺漏時，一樣會傾向隱瞞或淡化。基於上述種種，沒有立場包袱的中立方，且熟悉攻防技術的紫隊，才是理想的紫隊。

最後徐千洋與林逸提醒：對紅隊而言，紫隊對攻擊手法的公允評判，反而是讓滲透技術以合理管理的角度持續發展；對藍隊而言，被挖掘出來的盲區，因為有良性建議而能成長學習；而對企業高層及董事而言，資安投資雖無有止境，但透過紫隊才能真確反應出已投入的防護價值與效益，進而客觀檢討改進。

SailPoint：美國金融業零信任身分治理架構分析

「業界調查，94% 的資料洩漏其實都與身分有關，且全球前 10 大金融服務業的資料外洩事件，多是數百萬筆等級的帳戶資料外洩。」SailPoint 台灣區身分諮詢顧問曾心天道出金融業若未能控管身分的危險性。

不僅是客戶資料外洩，也包含金融業者商譽的損失，或股價市值的影響，並可能遭到政府金融管理單位的罰款。對此 SailPoint 主張金融業應導入零信任安全架構（Zero Trust Architecture）以避免類似情事再次發生。

曾顧問進一步說明，零信任打破過去驗證信任的邊界設定，採行新的隔離設計、以身分來定義安全，更簡單說是採行「從不信任-始終驗證」的策略，運用上下前後脈絡的關聯性，以及即時最新的身分資訊等，來精準提供存取授權。

或者說，零信任只提供恰到好處的時間內存取，強制系統使用最小權限的原則來提供存取授權，同時搭配隨時的監控分析來調整授權。

零信任將身分視為新的安全邊界，有太多具潛在威脅的身分帳號，例如約聘員工、短期工讀生、孤兒帳號、無納管的特權帳號等，或者是正常帳號卻被授與過多權限，都可能是日後導致資安事故的隱患。

另外 SailPoint 強調身分治理是資安防護的主要驅動力，即 Identity is Power，以及強調身分治理當關注三個關鍵，包含誰有權限？誰該有權限？以及如何使用權限？

也由於 SailPoint 專注於零信任防護架構與技術，因而在去年獲選為 NIST NCCeoE 的零信任框架協作夥伴。更重要的，SailPoint 是以技術為本提供客戶價值，在 SailPoint 的零信任解決方案中有包含 100 多個隨開即用的連接器及包含進階整合的知識庫，並在其中挹注 400 人年的工程經驗。

運用零信任實現身分治理，不僅能實現安全，也有助於法遵合規，以及改進提升企業的營運效率。所謂安全即在於零信任可主動調整、限縮存取權限，避免內部人員濫用權限以及駭客的惡意提權；法遵上也因妥善的存取控管而隨時能稽核查核；而權限的自動調整、密碼的自助管理、自動依據組織變動調整而改變權限對應等，也大幅省去人工調整的心力時間。

最後 SailPoint 身分安全方案將能賦予企業三大能力，意即：看到一切、治理一切、授權所有人。

Palo Alto Networks：容器生命週期安全治理 CWPP

「容器技術因輕量、敏捷、效率、高移植性等特點，有愈來愈多企業在資訊開發營運上使用容器，但容器的安全性卻讓人擔憂。」Palo Alto Networks 資深技術顧問詹鴻基提醒大眾關注容器的資安問題。

詹顧問接續說：近年來有太多的資安漏洞被發現與容器有關，甚至有駭客專門打造能利用容器漏洞的惡意程式，透過漏洞來偷佔運算力與硬體資源，從而為駭客挖取數位加密貨幣，俗稱挖礦。

此外根據 Palo Alto Network Unit 42 的研究調查，雲端環境中有 91% 的風險來自容器漏洞，遠高於 66% 的不嚴謹的權限，也遠高於 60% 的不安全的網路組態配置設定。Sysdig 的報告也指出今日有 75% 的容器是在高度漏洞、嚴重漏洞的環境中執行。毫無疑問企業已難以迴避容器資安議題。

要如何讓容器安全？顧問對此提出多項安全基礎，首先對容器要有正確的保護基礎架構，其次要只使用信任來源的映像檔，三是當對脆弱容器容易曝險有所體認，四是落實保護容器，五是盡量避免使用特權容器。

有關容器的安全管理，也必須從容器的使用生命週期來看待，不同的階段有不同的安全關注焦點，例如在建立階段主要在於漏洞的修補，在布建階段除修補外也要偵測與移除惡意程式，並修正不合規、不妥當的設定，而在執行營運階段則要了解應用程式元件的行為、對營運進行微分割等。

針對上述，Paloalto Network 的 Prisma Cloud 方案即能實現容器週期的全階段防護，例如在程式撰寫階段有 Cloud Code Security，而在營運監控階段有 Cloud Security Posture Management，在應用程式的執行階段則有 Cloud Workload Protection，微分段方面則有 Cloud Network Security，在跨工作負載的存取上則有 Cloud Identity Security。

此外 Prisma Cloud 是以代理、代助程式的方式實現保護，不需要掃描，不會給資訊系統帶來額外負擔，同時能精準全面的進行漏洞管理，並詳整列出各風險的處理級別，以及能產生多種合規性報表，滿足各種資安管理需求與稽核要求。

最後，資安問題必須盡可能遏止於萌芽階段，避免其擴大蔓延，更精準的資訊技術用詞則為提權（提取、提高帳號權限）、橫移（橫向移動），也唯有如此才能減少駭客可運用的攻擊面，將潛在可能威脅降至最低。

Trellix：為擴展檢測與回應帶來新的意義以應對最複雜的威脅

「資安攻擊手法日益精妙複雜，必須擴展檢測的範疇才能加以因應。」Trellix 大中華區技術經理吳育霖言下之意：過去局部且單純的偵測，正逐漸難以防範與招架新攻擊。

新威脅到底有多複雜難辨？吳經理以近期實例來說明，根據 Trellix 研究，名為 Espionage 的新攻擊活動在亞美尼亞、波羅地海地區施展攻擊，推測其背後的駭客團體為 APT28/GRU，這一波的攻擊活動運用 OneDrive 來當 C&C 伺服器，整體攻擊框架則使用 Powershell，這個攻擊忘記清除相關軌跡，故能鑑識攻擊過程。

而關於駭客集團 GRU，Trellix 觀察到該組織已運用惡意程式影響全球 1,000 台以上的路由器，進行建立跳板來發動 DDoS 攻擊，更具體而言是由 GRU unit 74455（又名 Sandworm）所為，惡意程式名稱為 Cyclops Blink。

另外近期也有 Wiper Attack，直接覆蓋刪除用戶的資料，不似勒索軟體還能支付贖金以還原資料，例如 2022 年 1 月、2 月均有用戶遭受攻擊。以上種種，可以透過 Trellix Insights 來發現攻擊的關聯性。

而若期望能及早因應防範，也建議用 Trellix Threat Center 來取得公開的資安威脅情資（OSINT）與危害指標（IOC），以便強化封阻設定及內部偵測能力。

除了能觀察駭客集團的動向，近期烏俄戰爭也可以看出集團的政治立場，例如 Conti 即表態支持俄羅斯，且透過其推特可進一步了解，Conti 內部通訊用的訊息軟體為 Jabber，訊息內容也充斥著俄羅斯地區的特色語言，故推測 Conti 與俄羅斯政府高度關連。

因應上述更為複雜多變的威脅，Trellix 建議企業當建立韌性（Resilience）策略，更具體的建議包含導入多維度監控與關連分析，才能偵測與防範不斷變化的供應鏈攻擊模式；並且在各種資訊環境下採行多重登入驗證（MFA）及零信任（Zero-Trust）；以及建立能跨地區、跨裝置偵測的 XDR 平台。

運用 Trellix XDR 不僅能即時偵測與掌握各端點（endpoint）的威脅，也能企業存取雲端應用程式（SaaS）時的安全，或支援業務程式開發（DevOps）上的安全，同時在資訊基礎建設的領域中，提供先進持續攻擊（APT）的阻絕能力。

歸結而言，Trellix XDR 是 Trellix 團隊透過經驗與資安流程所打造，是一個原生完整且相容共享的生態系統，透過多維度的包圍檢視與關連分析，即便攻擊手法持續變化，惡意程式持續改版更新，最終仍會無所遁形。

Black Kite：如何利用公開標準進行資安風險與財損評估

「資安風險評估相當重要，但若只採行質性評估則有諸多潛在問題。」Black Kite 解決方案顧問 Danny Tan 點出多數評估者未曾重視的問題：首先是缺乏一致性，相同的風險有人歸類為高，有人認為只是中等。

其次是有誇大風險程度的傾向，在無法確切判定風險程度時，多數人寧可將其歸類成嚴重風險，但也因此分散了防護資源，過多資源投入在可疑的嚴重風險上，使真正該重視的風險無法獲得足夠的防護資源；另外，質性評估也有無法立刻判斷處理及解決優先順序等困擾。

換言之，只使用質性評估在評估準確性、風險處理優先順序判斷與排定、防護資源分配、風險消除與緩解程度等各方面，都無法給出明確答案。在防範資安風險上到底花太多還是太少，也是無法確切回答。

相對於此，量化、量性評估使用標準化的模型來評估風險，去除偏見與不一致，且以金錢來衡量風險，可有效排定風險事件的處理順序，以精準判斷來增快處理效率。

有鑑於此，建議企業採行 FAIR Institute 提出的 Open FAIR 風險評估模型。評估模型中同時採行質性與量性的評估，質性方面主要評估損失事件的頻率，量性則評估損失的大小程度，以此將資安風險的財務損失具體化。

除了評估模型外，更重要的是評估服務，Black Kite 是目前業界唯一以開放標準來提供資安風險評估服務的公司，以 Open FAIR 為基礎，加入掃描 400 多種 OSINT 資源、運用 MITER 的資安威脅敏感性評估 (CTSA)、常見弱點風險分析框架 (CWRAF)、常見弱點評分系統 (CWSS)，以及常見漏洞評分系統 (CVSS) 等，來達到客觀全面的評估。

此外，Black Kite 也在 2022 年 Gartner Peer Insights 的資訊技術業者風險評估工具 (IT Vendor Risk Management Tools) 項目中，被評定為客戶首選 (Customers’ Choice) 象限的位置。顯示 Black Kite 的資安風險評估服務獲得廣大客戶的肯定。

客戶高度肯定的原因，不僅僅是來自 Black Kite 能提供具體量化的精準客觀評估服務，也來自其他特點，例如工具介面的高度人性化與親和直覺、評估報表簡單易讀，以及能將艱澀的技術資訊轉化成商業營運的概念。更重要的是，Black Kite 是以非侵入的方式來收集、分析資訊，幾乎不影響企業資訊系統與日常營運。

Dell Technologie：面對網路勒索下，金融企業應有的資料保全措施

「毫無疑問的 COVID-19 新冠病毒重創全球生活、社交、健康，但另一大威脅是資安領域的勒索病毒，且它沒有疫苗。」戴爾科技集團 (Dell Technologies) 數據保護解決方案首席技術顧問藍基能點出勒索病毒的嚴重性。

如今的世界每 11 秒就有一次勒索病毒攻擊，且高程度的攻擊動機來自財務報酬，意即賺取贖金，每次勒索事件平均要企業支付 2,400 萬美元的成本，且以金融產業的支付為最多。

更可怕的是勒索病毒已將備份系統納入攻擊目標，一旦得逞企業毫無自主還原機會，因此建議讓備份系統保持離線，減少入侵可能性。不過備份依然是資安防禦的最後防線，從 NIST 網路安全框架來看，五大防護功能中的最後一項在於恢復，重點同樣在於備份。

因應如此嚴峻的威脅戴爾建議企業導入「資料保全避風港計畫」，計畫內容為每晚提取企業的數據，且以加密方式備份至數據保險庫，同時確保內容不被竄改且完全隔離，最後若真的發生事故，即以連線方式取回備份內容，快速讓企業恢復營運。

藍首席顧問也補充，避風港計畫的構想源自美國，以此確保大眾對金融機構的信心，而今我國金管會也有相同政策，在金管會金融資安行動方案中，針對精實金融韌性的策略，其具體措施就有「建構資料保全避風港」。

確立實行避風港計畫後，還必須評估選擇實踐方案，對此戴爾主張滿足方案應具有的多項特點，例如必須斷開與企業日常營運的連線，避免被惡意軟體擴散入侵；同時為了降低備份的儲存空間成本，必須具有捨去重複資料的能力；另外要能鎖住備份資料，避免惡意竄改；進一步的，也建議企業考慮偵防的選項方案，時時偵測內部系統是否已被駭客或惡意程式入侵。

歸結而言，資料保全避風港帶來四大效益，包含實體與邏輯隔離保護資料、不可竄改加密保護資料原始性及正確性、快速還原與永續經營，以及前述選項建議中所實現的「智能分析識別威脅」。

最後引用 Gartner 的調查報告，愈來愈多企業將資安列為資訊投資的首要順位，而在隔離還原環境與不變性資料資料保存 (Isolated Recovery Environment & Immutability Data Vault, IRE & IDV) 方案上，最具代表性的業者與方案即為 Dell EMC Powerprotect Cyber Recovery。