近年來,金融業面臨嚴峻的資安挑戰,直接影響客戶資金與隱私安全。為深入探討最新的金融資安趨勢,「2024 金融資安趨勢論壇」於 2024 年 10 月 17 日在富邦國際會議中心圓滿落幕。本次論壇以「AI 賦能:智慧與資安並行」為主題,匯聚了
凱基銀行、
OPSWAT、
網創資訊、
Vicarius、
A10 Networks、
Thales、
Radware、
Splunk、
Tenable 與
UPAS 的專家及技術顧問,共同探討 AI 在金融資安領域的應用與挑戰。論壇亮點包括由國立政治大學資訊科學系教授左瑞麟博士主持的關鍵對談,邀請南山產物保險資安主管李杰倫、勤業眾信執行副總經理陳威棋,以及 TWCERT/CC 暨國家資通安全研究院經理林易澍共同分享金融產業的新應用趨勢。
AI 金融應用下的風險治理&防護技術
凱基銀行金融科技處副總經理兼資訊安全長周旺暾在開場演講中指出,金融業需整合最新的資料治理與 AI 管理框架,並採用三道防線機制,建立全方位的管理體系。在資料治理方面,銀行致力於確保數據的可用性、完整性和安全性,涵蓋品質管理、安全防護和元數據管理等關鍵領域。同時,也需建立完善的隱私保護機制,以因應國際法規要求。此外,凱基銀行為 AI 專案制定了全面的管理制度,包括模型文檔、風險管理和公平性評估。在風險管控方面,銀行採用三道防線機制,從分析到稽核形成嚴密監督網。周旺暾強調,有效的資料安全管理需要全面盤點,包括敏感性分級、權限管理和資料生命週期管理。
OPSWAT 北亞區技術顧問周裕華點出,金融業正面臨多元資安威脅。釣魚攻擊佔比高達 53%,其中釣魚郵件最為猖獗,佔所有釣魚攻擊的 80%。為應對新興威脅,OPSWAT MetaDefender 技術平台運用 MetaScan、Deep CDR 等技術,全面保護檔案、電子郵件、終端設備與周邊裝置的安全。該平台更針對 QR Code 攻擊等新型態威脅,建立完整的監控與防護機制。在 ATM 系統安全方面,OPSWAT 採用單向閘道架構,從交易指令傳輸到系統更新維護,皆實施嚴格的安全管控。此架構不僅確保交易安全,還能有效防範詐騙並降低營運風險。
網創資訊業務經理陳勁瑋指出,亞太地區擁有最多網路使用者,同時承受較高網路攻擊風險。為應對這些挑戰,現代化資安監控系統整合多層防護機制。從伺服器區域到遠端辦公環境,都配備完整防護方案,包括防火牆、入侵偵測系統(IDS/IPS)、資料外洩防護(DLP)等。然而,當前資安團隊平均需 10天才能成功處理入侵事件,而 54%的安全事件由外部組織通報,凸顯資安監控現代化的迫切性。因應此情況,從調查、偵測、回應到威脅追蹤,AI都能提供關鍵協助。例如,在調查階段,AI可進行案例搜尋比對、自然語言搜尋,並協助分析可疑軟體;在偵測階段則可建立機器學習風險評分機制,大幅提升資安防護效能。
協同合作,打造資安防線
力悅資訊總經理彭國達指出,自 2015 年以來,漏洞數量年增幅度在 5% 至 127% 之間;截至 2024 年 9 月,累計漏洞已達 28,863 個。彭總經理更以 Microsoft 最新揭露的高風險漏洞為例,包括 Windows Update 遠端程式碼執行漏洞(CVE-2024-43491)和 Microsoft Publisher 安全功能繞過漏洞(CVE-2024-38226),引起現場共鳴。為協助企業有效應對這些挑戰,vRX 平台推出了 AI 輔助的漏洞修補解決方案。該方案提供漏洞掃描、風險評估和修補建議的一站式服務,讓企業能即時掌握系統弱點並進行必要的安全性更新。vRX 不僅能識別高風險漏洞,還能提供客製化的修補建議,協助 IT 人員快速、精確地完成系統更新,從而大幅提升企業的資安防護能力。
A10 Networks 台灣區技術總監陳志緯表示,隨著網路攻擊手法日益精進,公司推出新一代分散式阻斷服務(DDoS)防禦解決方案,運用機器學習技術提供全方位的即時防護。該系統採用創新的 TPS 緩解技術,能精準識別並過濾異常流量,同時降低誤判率,確保合法用戶的正常存取不受影響。此外,該自動化防禦機制涵蓋完整的攻擊生命週期管理:從事前的自動組態設定與威脅情報收集,到攻擊期間的行為偵測、流量協調和零時差模式識別,最後到事後的自動報告產出,形成一個完整的防護閉環。系統能同時監控多項服務,透過深度封包檢測技術,為網路層至應用層提供全面性的保護。企業因此能更有效地應對各類 DDoS 攻擊威脅,確保營運服務的持續性和穩定性。
Thales 全球身分認證載具產品經理 Yarden Gaon 與身分認證解決方案台灣區經理謝姈諺指出,美國行政命令及歐盟 ENISA 已規定當地政府機構必須採用 FIDO2、PIV 等防釣魚認證方式,避免使用易受攻擊的簡訊及語音驗證。Yarden 和謝經理強調,Thales 致力於強化資安防護,推動 FIDO2 成為新一代多因素認證標準。FIDO2 技術提供兩種類型的通行金鑰:同步式和裝置綁定式。同步式通行金鑰可透過雲端同步至多個裝置,適合作為密碼替代方案;裝置綁定式則將金鑰儲存於硬體安全模組中,私鑰永不離開設備,特別適合用於多因素認證。新一代認證解決方案結合 PKI 及 FIDO2 優勢,不僅提供強大的身分驗證,還支援數位簽章、檔案加密、實體存取控制等多元應用,同時確保法規遵循。
AI、資訊安全的雙面刃
Radware 技術顧問王毓麟分享,2023年惡意網站攻擊較2022年激增171%。42%的企業組織每週遭受應用層攻擊(包括Bot、API與DDoS),約20%的組織每天面臨此類威脅。以2024年9月台灣遭遇的重大攻擊事件為例,來自馬來西亞的 Noname057 與 Project DDOSIA 針對台灣政府和金融產業等機構發動攻擊。主要手法包括利用 HTTPS GET/POST方式繞過安全設備,以及 TCP-SYN Flood 攻擊。王顧問強調,現今企業普遍採用混合雲架構:約55%的企業使用三個以上不同環境執行業務,73%仍在維運自有資料中心,46%同時使用私有雲與公有雲。面對如此複雜的應用環境,建議企業必須在各種環境中建立一致的防禦機制,以有效控制資安風險。
Splunk 北亞區合作夥伴技術經理楊耀輝則指出,單次金融詐欺事故即可造成高達 5000 萬美元的損失。而 Splunk 的 SIEM 解決方案運用 SWIFT 報文檢測詐欺,分析異常交易並與歷史記錄比較。該系統深入分析金融數據,識別異常行為並即時發出警報,並能有效發現並遏制金融詐騙,協助機構提升風險管控,保護客戶利益。楊經理進一步強調,犯罪者常利用多種設備和管道進行非法洗錢交易。在偵測可疑行為模式方面,數據分析和 AI 模型發揮重要作用,分析交易數據、IP 位置和設備指紋等指標。對高風險帳戶進行評分有助於重點監控,而分析電匯地理模式則可揭示異常資金流向。綜合運用安全工具和分析功能可提高洗錢檢測的準確性。
Tenable 區域經理蔡孟廷指出,即使企業定期盤點特權帳號,仍可能遭受勒索攻擊。他舉例說明攻擊者如何從海外子公司入侵台灣總部,並在概念驗證時發現不當設定,幾乎賦予所有人特權帳號。蔡經理強調,發起 DCSync 攻擊只需兩個小型目錄服務權限,而非管理員權限,突顯了洞察攻擊者初始存取權的重要性。Tenable 系統不僅識別這些風險,還能發現異常行為、OT 活動和身分曝險指標,並提供標準化風險視圖和資產曝險分數(AES),協助客戶了解整體風險狀況。此外,Tenable One 揭示資產、身分與風險的關係,以及潛在攻擊路徑,幫助客戶優先處理最關鍵的技術曝險。系統還能呈現雲端資產、身分特權,以及可能造成高風險的組合,強化企業資安防護。
UPAS 優倍司股份有限公司業務經理曾舜韋在壓軸分享到,企業常見的九大資安隱憂包括:終端設備盤查困難、缺乏有效的邊界防護、重要系統更新未完成,以及防毒軟體未妥善安裝等。這些隱患都可能成為駭客入侵的破口。為解決這些問題,UPAS 推出了 ITAM IT 資產管理金融業解決方案,將傳統上分開執行的 NAC(網路存取控制)和 ITAM(資訊科技資產管理)系統整合為單一平台。這項整合不僅將設備納管率從 80% 提升到 95%、降低管理成本,還採用精準管理模式,能有效掌控設備上線異常、離線狀況,以及設備報廢流程,實現自動化管理。透過單一平台整合各項內網資訊,不僅確保資料正確性,更為企業打造了安全、高效率的資訊環境。
AI x 聯防:強化金融資安韌性
壓軸關鍵對談聚焦「AI x 聯防:強化金融資安韌性」主題,由國立政治大學資訊科學系教授左瑞麟博士主持。南山產物保險資安主管李杰倫、勤業眾信執行副總經理陳威棋與 TWCERT/CC 暨國家資通安全研究院經理林易澍共同探討如何在科技便利性與資安風險間取得平衡。專家們強調,雖無法完全消除風險,但可透過多管齊下的策略降低風險,包括技術解決方案、完善管理制度、員工教育及整體風險評估。他們指出,重點應放在保護核心資料上,而非過度限制員工使用設備。例如,某些金融機構在交易區域禁用手機,反而導致員工攜帶多部手機,增加了風險。因此,專家建議企業應聚焦於資料保護的本質,設計更精準的防禦架構。最終關鍵在於如何有效落實各項安全措施,在享受科技便利的同時,將資安風險降至最低。