金融永續,資安隨行
實踐「綠色金融行動方案2.0」及「資安行動方案」之防護Backbone良方
在過去數月前面臨Covid-19 疫情的高峰期,所有員工都迫切需要遠距工作。儘管疫情似乎正在逐漸趨緩,但辦公環境以及辦公設備可能會永遠改變。
隨著疫情趨緩,一些員工將返回實體辦公室,尚有一些員工將採行混合模式工作,還有大量員工將無限期地遠距工作,且有部分企業將採行「隨處皆是辦公環境:WHA」。
然而,在工作場域以及連線操作設備越發多元下,員工及維運商對於遠端存取的連線需求也日益增加,而且亦無法確保遠距連線工作設備是否感染惡意程式,在此趨勢下,對於個資與機敏資料的保護、交易與核心系統之安全,使得資訊及資安部門面臨更大管理負擔及挑戰。
在此嚴峻的疫情與工作場域的改變下,紛紛開始思考如何建構「身分存取安全機制」的重要性,無論連線操作者來自於何方,首重『三零政策』才能建構絕佳有效的『資安防禦新疆界』。
參閱國內知名資訊媒體業者 – iThome在2021年「資安大調查」資料中,分析金融業在未來1年,將面對首要的四項攻擊與風險:(1) 來自駭客的攻擊、(2) 透過社交工程手法發動的攻擊、(3) 勒索軟體導致的外洩事件、(4) 資安漏洞造成的資安事件。
就上述風險與攻擊可能造成的危害,身份安全可保障組織最重要資產的安全並同時提高業務的靈活性,令組織安心無慮。CyberArk身分安全成功藍圖是一個最佳實踐框架,借鑒成功導入 6,900 多家全球客戶的經驗,更集結人員、流程及技術領域數十年的經驗與專業知識,對實現成功的身份安全而言至關重要。特此,提供五大階段之『控制措施與技術』,達成風險降低之目標及防護效益:
[撰文者:力悅資訊 王甯申]
更多方案內容,請參閱以下官網資訊:
CyberArk https://www.cyberark.com/zh-hant/
力悅資訊 http://www.cyberview.com.tw/cyberark/
因應金融創新科技,改變營運模式的資安新思維
如何提供穩定不中斷的金融服務,更保護金融消費者的財產與隱私
金管會於109年8月6日推動『強化金融資安行動方案』,旨在提供民眾安心便利、穩定不中斷的金融服務。
該計畫之推動以二至四年為期,保護金融消費者的財產與隱私,資安行動方案從四個面向切入:
強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能 (架構圖如下圖一),亦提出36項資安措施。
更從二方面提供指引功能:
(一)現有資安再優化精進措施:如檢視資安風險因子與金融監理工具連結之有效性、增修訂新興金融科技資安規範等。
(二)規劃資安新思維方向:如推動一定規模金融機構或純網銀設置資安長,強化金融資安韌性,建立資安應變體系。
本篇將特別著重於「新興金融科技資安規範」,提出具體行動方案與建議:
依據金融資安行動方案執行措施表內資訊,針對構面一、強化資安監理中,增修以下兩個工作小項,提出工作說明重點:
就上述兩項規範,格外著重於「新興科技安控」與核心資訊系統供應鏈之風險評估管理要求,於此,CyberArk身分安全平台中,提供以下安控與稽核建議:
一、執行與落實零信任安全存取:
在創新金融發展下,多元化的新興科技持續導入,從過去的邊際防護到縱深防禦的做法,以不足以抵禦來自於多方的攻擊與入侵,為了建構強而有效的核心與交易系統防護控制點,唯有執行「零信任的身分識別」才是關鍵,具體可執行的建議如下:
- Human Identity:ID + Password + MFA + PAM à Login success
- Machine Identity:UID + Password + AP Secretless Broker à Authentication successful
二、建立供應鏈與維運商零信任安全存取:
- 無論供應鏈或維運商自內部進行連線操作時,必須是由廠商以個人帳號進行多因子身分驗證,確保登入前的身分驗證安全。
- 若供應鏈或維運商自外部網路連入系統進行維運時,必須避免在遠端連線設備上輸入帳密(尤其是特權帳密),且採行更加嚴謹的「生物識別驗證機制」,確保遠端連入時的驗證,並且建立外網連線的Terminal gateway,完整留存系統維運時的操作記錄與影像擷取,作為日後稽核與備查。
預期效益:
透過上述的建議與作為,除可落實資安行動方案的要求外,共創以下「金三角」目標:
- 金融機構:
健全資安管理制度,提升資安防護能量;並得以在資通安全的基礎上,運用新興科技發展金融業務,提供消費者更安心、便利與多樣之金融服務,讓您完全無後顧之憂、勇往直前、再創營收佳績。
- 金融產業:
透過供應鏈與維運商的安全存取與管控機制,建構金融資安聯防體系,厚植金融體系防禦能量,營造安全的金融服務發展環境,奠定金融科技創新及發展之根基。
- 金融消費者:
安心使用更加便利、不中斷的數位化金融服務,並在保障財產與隱私安全情況下,獲得金融消費者更高的評價與服務滿意度提升。
[撰文者:力悅資訊 王甯申]
更多方案內容,請參閱以下官網資訊:
CyberArk https://www.cyberark.com/zh-hant/
力悅資訊 http://www.cyberview.com.tw/cyberark/
乘數位金融之浪潮 防資訊安全於未然
- 2020年前三季度軟體勒索案件增長75%
- 2020年第二季度末,勒索軟體支出增長至每個事件8萬美元以上
- 大型企業年度平均支付超過100萬美元的勒索軟體金額
根據新加坡國家網路安全局(CSA)統計, 2020年1月至10月勒索軟體案件近75%的增長,相較於2019年的案件總數有著大幅度的增長。其主要目標鎖定金融、製造、零售和醫療保健等各類產業的企業。根據《ASEAN Cyberthreat Assessment 2021 report》的數據,到2020年第二季度末,所有企業的平均防治勒索軟體支出已從2018年第三季度不到1萬美元增長到每個事件17.8萬美元以上。大型企業甚至平均支付超過100萬美元金額的贖金。不僅僅是國外,台灣於2021年以來在金融業、製造業、電商及相關產業也苦於駭客的威脅,除了客戶機敏資訊、公司營運資料、智慧財產IP…等多樣機敏資訊外洩,被駭客勒索金額更從數百到數十億台幣不等。為此,如何解決企業內部身分保護風險外漏,是我們刻不容緩必須解決的問題。
CyberArk為「特權存取管理領域的市場領導廠商」 助益金融業縱深資安防禦
CyberArk為「特權存取管理領域的市場領導廠商」,並結合了CyberArk Labs全球客戶經驗,總結四種快速降低資安風險的作法,助力金融業通過這些作法,立即降低風險,使企業免遭受任何不易察覺的攻擊,運用以下四種降低風險作法:
- 防止企業身分憑證被盜竊或洩漏
- 不再依賴過往的用戶名稱及密碼
- 檢測並阻止橫向或縱向移動
- 識別與身分特權相關的異常狀況
後疫情時代智慧資安 建立客戶信任於永續
因應後疫情時代非接觸應用蓬勃發展,流程自動化、雲端服務、AI運用、物聯網、DevOps等新興科技的浪潮推動下,金融業正將迎來新一波數位改革的華麗變身,也由於面對Covid19的衝擊,台灣實施了近3個月的三級警戒,金融業從只能在辦公室辦公,演變至今除了可遠距視訊會議外,也成就了各種多元化遠距辦公的作為,然而,面對各式潛在的數位攻擊行為,駭客更是虎視眈眈等著藉由數位化的過程有任何的疏失,從遠端竊取企業資料,使企業人心惶惶。面對現今不同的使用情境及新技術的演進,如何架構新一代的智慧資安,管控企業內部統一身分管理平台刻不容緩,據此,CyberArk在金融產業揭渚了高階主管須具備的三大核心管理思維及五大實施步驟,務求加速金融業數位轉型及保全企業及客戶權益。
三大核心管理思維
一、數位轉型,資安隨行(零常設特權Zero sustain privilege management);
金融數位化已是不可逆的趨勢,如何與客戶運用數位化零接觸式進行多管道的溝通也已經是現在進行式,然而如何乘浪疾駛,卻又要做好資安管理的後勤補給,著實是目前企業高管的一大挑戰,所以如何規劃並運用零信任基礎下的運營管理,當是現在資安長或是資訊長的首要任務。在大型企業,平均有480位使用者擁有24x7x365的Always-on IT管理權,攻擊者竊取一個帳密即可能接管整個企業網路,常設特權也是勒索軟體能快速散播的主因,因此減少常設特權是現階段相當重要的防禦手段。
二、統一管理,IDaaS(統一身分管理Unified Identity Security Platform)資訊安全防護已是金融業最重要的一環,而身分管理無疑是管理者的第一要務,如何將過往企業已發展數十年使用資訊架構中的身分權限,作完整且一致的統一控管,並考量Policy as a Code的實際作為,降低企業內身分權限的遺失,並符合主管機關合規性及稽核的考核,提升作業效率也達到身分保存要求。Verizon Data Breach Investigations Report曾揭露29%的攻擊牽涉到被竊取的帳密,因此多因子驗證已是業界在身分驗證的共識,企業內外的身分生命週期管理、身分目錄管理及單一簽入機制更是資安防護要點,建立統一的身分安全管理平台刻不容緩。
三、環保地球,永續經營(永續金融資安Sustainable Finance Cyber Security)
因應金管會於2020年8月發布「綠色金融行動方案2.0」,企業內管理機制需導入創新綠色電子數位化運維程序,降低文本輸出簽核及加強稽核效率,提升企業競爭力並兼顧低碳轉型,此外也須積極接軌國際ISO 27001, 22301, PCI..等規範,持續引導及支持金融業實體產業發展,驅動一個正向循環的永續金融生態圈。
五大實施步驟ABCDE;
一、應用系統安全思維(Application Secret Management)
開發人員實現軟體建置與測試的自動化,而IT部門正實現佈建工作的自動化;這兩個團隊都仍然認為,安全性減緩他們前進的步伐,雖然持續整合、持續部署與DevOps實踐都可以協助提高靈敏性,但同時也造成資安風險,包括將帳密秘密資訊儲存在原始程式碼庫中以及隨意將憑證或帳密保存在各處,這種不好的習慣使正式環境中的每種軟體皆可能引發風險!運用妥善的工具保護應用程式、腳本及其他非人類身分使用的憑證帳密是當務之急。
二、基礎建設高權限控管(Backend Infrastructure Management)
成熟的特權帳號管理是保管人盡責的表現,擴大落實範圍到整個企業IT卻不容易,各種商業軟體、應用程式、機器人、自動化腳本及開發維運工具,每個環節都是阿基里斯的腳踵,建立完整的信任鍊,達到零常設特權當屬必要。
三、雲端身分特權運維(Cloud Identity Access Management)
安全邊界從企業擴展至雲端為企業帶來全新的安全挑戰,過去安全的網路邊界已經變得模糊,零信任資安思維崛起,取而代之的是經驗證過的合法身分,在雲端除了人的身分,機器身分及其存取權更加複雜,如何運用資安管控及AI協助降低企業所面臨的風險正是新興課題,更須盡早落實。
四、穩健資安作為 (Defensive Security)
疫情下多數企業在資安作為打了折扣,因為開放更多人使用VPN執行作業,忽略居家作業環境的安全性,一些不可或缺的配套機制,例如業務人員的操作錄製、IT人員遠端作業的安全性、廠商維護的資安考量、如何進行臨時授權及提權等等更形重要,新型態的資安管控方式在疫情下於是誕生:安全的Web網頁應用操作連線、無密碼(Passwordless)及VPN的安全遠端存取、廠商維運管理及Just-in-Time授權遠端連線等資安服務可謂大旱之下的及時雨。
五、終端權限存取管理(Endpoint Privilege Management)
攻擊往往是從端末滲入,取得存在端末的高權限服務帳密或端末的管理者帳密更是常見的手段,一個疏忽就是整個企業淪為勒索攻擊的肉俎,基礎的資安控制往往是最艱難的,但這也是所有金融稽核必定要求的,落實最小授權!
持續創新,邁向未來
在數位金融的旅程上,金融業尤應重視其數位化帶來的潛在威脅,面對新型態資安攻擊手法,傳統防毒軟體、偵測工具或是網路防火牆等已無法完全確保企業被駭及資安威脅,若是任何的客戶機敏資料外洩,或是營業秘密被竊取,對金融業尤其是名譽的損傷,在客戶的心目中,「信任」是金融業面對客戶的不二法門。CyberArk與力悅資訊在這十六年來秉持著共好的志念,持續創新資安管理科技提供統一的身分管理安全解決方案,不只專注在資訊安全技術深度,更冀望能協助創造更多業務價值,從而協助金融業在抵抗各式資安攻擊、提升業務產出效率、助力數位業務發展、滿足稽核及合規性。CyberArk資訊安全也攜手C3 Alliance生態系夥伴,提供金融業資訊安全及全方位需求的創新服務。
關於 力悅資訊
力悅資訊成立於2005年,屹今已成功將多項資安防護軟體引進台灣,廣受經銷夥伴及各產業客戶的好評。同時,秉持以「VAD – 加值服務代理商」的專業協銷與服務,專職為大中華區提供專業的資安產品及服務,『利用科技與資安的力量幫助公司獲利』。
力悅資訊本著這個信念,持續引進全球最新的觀念、一流的產品與服務,透過經銷通路將這些有助台灣企業增強國際競爭力的訊息,不斷地推廣到各產業中,讓導入力悅代理產品的IT單位不再是「成本中心」,而是公司『兼顧安全與獲利的中心』。欲了解更多關於CyberArk身分安全與存取管理解決方案或產品訊息,歡迎參閱CyberArk官方網站https://www.cyberark.com.tw
