金管會近期發布「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。
金管會前於2022年12月發布「金融資安行動方案 2.0」時,為因應後疫情時期及數位轉型之資安防護需求,參考國際間包含美國、歐盟等都將發展零信任網路資安防護環境視為網路安全戰略,我國「國家資通安全發展方案」亦推動政府機關導入零信任網路,爰將「鼓勵零信任網路部署,強化連線驗證與授權管控」納為精進重點之一。
金管會於參考指引中,建議金融機構採風險導向,擇高風險場域為優先導入零信任架構之標的,例舉的場域包含非屬傳統資安防護邊界範圍內的遠距辦公及雲端存取;具備特權或高權限者,如重要系統主機及資料庫等之維運管理、應用系統中的帳號管理員或可接觸大量機敏資料之使用者等;以及因應供應鏈攻擊趨勢,對委外廠商或跨機構協作之存取管理。金管會並說明,高風險場域不以前述例舉為限,並得由金融機構依風險基礎方法進行適當評估,擇定其導入優先序及範圍。
在零信任架構的導入策略上,金管會參考美國網際安全暨基礎設施安全局(CISA)零信任成熟度模型,並依據我國金融業屬性及既有資安防護能量進行調適,區分四階段分級指標,建議盤點高風險場域之完整存取路徑(身分、設備、網路、應用程式、資料),由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面,參考分級指標分階段導入資安管控措施:
(1)第一級為靜態指標,著重在既有資安防護機制之優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等,由關鍵資源存取路徑強化防護縱深。
(2)第二級融入動態指標,主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性(如時間、地點、設備合規狀態等)增納為授權審核條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。
(3)第三級以即時指標為主,建議整合資安監控機制,於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌,對入侵指標(IOC)或攻擊行為樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。
(4)第四級為最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。
金管會表示,本參考指引屬行政指導,金融機構於導入實務仍得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適;或另為適切之規劃,不以本參考指引為限。
參考來源:金融監督管理委員會(https://to.findit.org.tw/69jg6t)