金管會拚資安發布「零信任架構參考指引」 點名六大高風險領域先行

金管會爲加強金融三業資安防護，推出「零信任」指引。圖／本報資料照片

金管會今日宣佈，已發佈「金融業導入零信任架構參考指引」，鼓勵金融業以零信任思維深化資安防護。金管會希望防止駭客進入內網之後，金融機構能否以零信任架構來保護關鍵資源，因此發佈上述指引，其中金管會特別點名六大高風險場域，希望金融三業都能先行着墨加強零信任架構。

所謂零信任，亦即用最嚴格的標準來檢視系統進入者，不因是否爲內部人而有所差別。金管會資訊服務處長林裕泰舉例，若駭客若透過釣魚郵件侵入內部設備，則內網的資安防護可令其在內部流竄時，完成偵測及攔阻，透過零信任的推動，也讓金融業者對此更聚焦。

金管會曾在111年12月發佈「金融資安行動方案2.0」，將「鼓勵零信任網路部署，強化連線驗證與授權管控」納爲精進重點之一。金管會表示，等時機成熟，就會由銀行公會納入自律規範，也會以更明確的條文來要求業者。

金管會表示，考量零信任架構涵蓋整體資安防護框架，導入過程不可能一次到位，而融機構於資安防護均已有一定量能，如雙因子身分驗證、設備健康檢查及網段隔離等；爲鼓勵金融機構在既有的基礎上，以零信任思維續深化資安防護，與金融機構研討過程凝聚之共識，因此訂定上述的指引供金融機構參考運用。

林裕泰說明，金管會今年上半年對銀行、保險、證券都有調查，其中銀行保險全部調查之外，對證券業則調查19家。這個指引主要讓金融機構聚焦，之後讓業者能做更有系統的整理，

從風險導向而言，希望業者能先從高風險場域開始做起，主要包括：遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作等六大場域開始推動，這六大場域，包括非屬傳統資安防護邊界範圍內的遠距辦公及雲端存取；具備特權或高權限者，如重要系統主機及資料庫等的維運管理、應用系統中的帳號管理員或可接觸大量機敏資料之使用者等；以及因應供應鏈攻擊趨勢，對委外廠商或跨機構協作之存取管理。

林裕泰指出，近來很多的資安事件，都跟內網防護不足有關；很多駭客透過釣魚郵件，直接進入個人電腦，操縱木馬程式發動內部攻擊，從個人電腦到個人電腦，甚至另一部主機之間，若沒有足夠防護，就會攻擊成功。也就是，即使是內部的帳號，或內部的設備也不要完全輕信，因爲內部設備也有可能植入後門程式。

在零信任架構的導入策略上，金管會區分四階段分級指標，建議盤點高風險場域之完整存取路徑（身分、設備、網路、應用程式、資料），由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面，分階段導入資安管控措施的分級方式如下：

(一)第一級爲靜態指標，着重在既有資安防護機制之優化及整合，包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外泄防護等，由關鍵資源存取路徑強化防護縱深。

(二)第二級融入動態指標，主要參採零信任「永不信任、持續驗證」概念，將資源存取時的動態屬性（如時間、地點、設備合規狀態等）增納爲授權審覈條件，可針對異常樣態動態撤銷、限縮存取授權或即時告警。

(三)第三級以即時指標爲主，建議整合資安監控機制，於安全資訊與事件管理平臺(SIEM)收容及整合資源存取相關事件日誌，對入侵指標(IOC)或攻擊行爲樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。

(四)第四級爲最佳化的整合指標，建立可依資安政策快速調適之一致性且自動化之管理機制，確保安全性及合規性。