零信任指引 金融業6場域先行

金管會資訊服務處長林裕泰舉例,如果駭客透過釣魚郵件侵入到內部設備,內網資安防護可在其流竄時,完成偵測與攔阻。

金管會表示,零信任架構不可能一次到位,考量資安防護有一定的量能,如雙因子身分驗證、健康設備檢查及網段隔離,金融機構可在既有的基礎上,以零信任的思維繼續深化。

金管會所發佈的參考指引,建議金融機構可擇高風險場域作爲優先導入零信任架構的標的,金管會舉例6大場域,如遠距辦公,使用者及設備位於傳統資安防護邊境外;雲端設備位於傳統資安防護邊境外;系統維運管理,如主機設備及系統管理包含作業系統、資料庫的特權帳號。

應用系統管理如帳號管理員或高權限者帳號,可接觸大量個資或機敏資料使用者;服務供應商如委外廠商的遠端維運管理;跨機構協作,如重要應用系統外部使用者。但金管會強調並不限制前述場域,金融業可適當評估。

零信任架構導入策略,區分4階段分級指標盤點高風險場域。第一級爲靜態指標,除既有的雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料及外泄防護,由關鍵資源存取路徑強化防護縱深。

第二級爲動態指標,是零信任「永不信任、持續驗證」的概念,將資源存取時的動態屬性如時間、地點、設備合規狀態納爲授權審覈條件,可針對異常樣態動態撤銷、限縮存取授權或即時警告。

第三級是即時指標,建議整合資安監控機制,於安全資訊與事件管理平臺收容及整合資源存取相關事件,對入侵指標或攻擊行爲樣態,等進行即時的偵測、判斷與應處。第四級爲最佳化的整合指標,建立可依資安政策快速調適至一致性且自動化的管理機制,確保安全性及合規性。

金管會表示會定期調查金融機構導入及進程,與各公會、周邊單位共同依據對金融屬性、規模及業務風險,衡量實際資安防護需求及執行可達性。金管會上半年已完成所有銀行、保險及證券19家調查。