攻擊者只要取得合法帳密,就能以「正常使用者」身分登入企業系統,繞過許多以惡意程式與既有特徵為主的偵測機制。
金融產業一旦發生憑證外洩,攻擊者往往會在內網橫向移動並提權,平均可潛伏約 186 天才被發現;後續清除與圍堵也可能再耗時 55 天。這類事件不僅造成營運中斷,也會直接牽動合規與稽核責任。
在此背景下,歐盟《數位營運韌性法案》(Digital Operational Resilience Act,DORA)自 2025 年 1 月起正式適用。其中第 9 條將憑證安全納入法規要求,金融機構必須能「證明」已落實預防與保護措施。換言之,身分驗證與存取控管不再只是最佳實務,而是可被稽核、並需負起責任的法遵議題。
以 2025 年資安趨勢來看,
遭竊憑證仍是常見的初始入侵途徑之一;同時也有初始存取仲介販售企業內網登入權限,並搭配資訊竊取惡意程式大量蒐集帳密,使攻擊門檻持續降低。當攻擊者使用真實帳號登入時,若缺乏有效的身分治理與特權控管,事件便很容易升級為重大資安事故與營運危機。
就 DORA 第 9 條而言,與憑證管理最直接相關的重點可歸納為兩條主軸:第一,第 9 條第 4 項(c)
要求落實最小權限,對資訊資產與 ICT 資產的實體或邏輯存取,必須限縮在「合法且已核准的業務需要」。第二,第 9 條第 4 項(d)
要求強式驗證,並提及應依相關標準與專用控管系統,同時也要強化加密金鑰的保護。
落地到實務面,這也意味多重要素驗證(MFA)不再是選配。面對釣魚與中間人攻擊(Adversary-in-the-Middle,AiTM),
更具抵抗力的作法是採用 FIDO2/WebAuthn 等抗釣魚驗證方式,例如安全金鑰與通行金鑰。此外,雖然條文未直接點名特權存取管理(Privileged Access Management,PAM),但 PAM 在特權帳密保管、即時權限(Just-in-Time,JIT)與工作階段記錄等能力,正可對應法規所強調的專用控管與可稽核要求。
此外,第三方供應鏈同樣是 DORA 的關注焦點。若關鍵 ICT 供應商帳號未啟用 MFA,或承包商端點感染資訊竊取惡意程式,攻擊者就可能以供應商身分切入,最終波及金融機構本身。此時,不僅是供應商的資安事件,也可能轉化為金融機構的法遵責任與通報壓力。
防護建議
- 優先推動抗釣魚 MFA,特別針對特權帳號與遠端存取。
- 落實最小權限原則,搭配 JIT 機制,降低長期持有高權限的風險。
- 將服務帳號密碼與 API 金鑰集中於加密的憑證保管機制,並保留完整稽核軌跡。
- 強化持續監控與異常登入偵測,縮短潛伏時間,降低營運中斷與通報衝擊。
本文轉載自 BleepingComputer。