https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

企業資安需求(二) 金融業-表面功夫沒有用 確實運用才有效

2012 / 05 / 24
吳依恂
企業資安需求(二)  金融業-表面功夫沒有用  確實運用才有效

金融業與金錢交易息息相關,其資安威脅從來都沒少過,更由於近年來網路的盛行,多元化提供服務的需求,出現了更多來自網路的新風險。其主要威脅主要集中在於資料外洩、帳務盜轉和服務中斷的問題。不過雖然都是金融業,但銀行與保險、證券業的核心重點依然會有些不盡相同。

 

威脅與控制措施

網路服務越發蓬勃 安全更加難以掌控

不管是提供什麼樣的金融服務,網路安全依然是目前很大的威脅之一。以銀行為例其風險的重點在於網路銀行及Web ATM;保險公司在於其線上投保系統,也就是遠端存取控管;證券業重點則在於下單系統,通常為自行開發建置,消費者需要下載這些外掛的應用程式到電腦上進行看盤、下單的動作,而這些應用程式也可能是漏洞的來源。在金融業當中,保險與證券業會有較多的行銷活動,而不管是透過委外或是自建系統,由於這些行銷系統並不是重要的核心系統,所以也比較不重視其上之系統與漏洞,也因此有單位因而被駭客找到攻擊的漏洞,造成入侵成功。

除了網路安全問題,其次則來自於端點控管方面,也就是來自人員資安意識的缺乏,一來是會造成攻擊者利用交工程手法,漸進式的從社交網站逐步找到相關人員的帳號密碼,滲透到內部系統,這種狀況常發生在較大的一線金融機構。二來,有權限的人員也可能有意洩漏,透過Web mail甚至是實體影印、3G/4G行動裝置洩出。

此外,個資法的通過雖不能算是金融業的威脅,但一旦發生資料外洩事件便也會面臨到被罰錢的風險。

建議控制措施:網站應用程式防火牆(WAF, Web Application Firewall) +端點型DLP + 日誌管理 +資料加密

加強網路銀行的安全性,利用網站應用程式防火牆先阻擋網站漏洞和攻擊,並且先行佈署端點型的DLP,防止有權限的人有意或無意將資料外洩,並且做好權限控管和進行文件列印的控管。

網路端的安全威脅,主要來自於應用程式的漏洞,由於過去並沒有安全程式撰寫的觀念,許多自建或是委外的網站都隱含著不少程式漏洞,而除了前端的網站,後端的系統也需要定期更新版本、上Patch,本身也有不少問題。除此之外,端點型的DLP佈署,可以暫時防堵來自有權限的人員,從各個可能的端點洩漏資料。

而為了因應個資法,不少銀行更是開始重視日誌管理的保存,確保資料使用軌跡可以被追朔,並且足以作為證據,此外也加強權限方面的控管,而資料庫的稽核與加密也開始受到重視。

表面功夫做得漂亮 實際問題沒有解決

對於金融業的網路安全,修改應用程式碼並不是短期間容易達到的任務,尤其在累積著前人或是委外廠商心血的疊床架屋構造中。此外,撰寫程式的人員並非資安人員,兼具兩種專業的人才更是少之又少。而WAF聽其字面意思也是個防火牆,卻是需要技術含量、專業含量高的解決方案,並不是一種裝上去就不用管的設備,其設定的複雜度也不是一般使用者能夠輕易學會的事情,更甚者是該單位甚至沒有專業的人員可以處理這個部分。

一名資安專家指出,不管是國內外的銀行,發生外洩事件幾乎都是內賊造成的,有權限的人,長期而有計畫的慢慢將實體文件資料偷出去。對於所有文件的管理,包括實體、文件的輸出,流程整個都需要重新審視,目前一些較大型的金融單位就只剩下DLP還沒買而已,主要是因為導入工程太浩大,每一個端點都要佈署到。在這邊講的真正DLP應該是在每個端點上,產生的資料都可以被確實的掌握流向,不會被流出。

保險業最大隱憂其實在於在外流動的保險業務從業人員,使用的不僅非公司發配的電腦,所經手的文件更是可以長期的保存、列印,如何重新檢討整個作業流程,乃是一個重點。而證券業更著重的風險則在於是否做好備援,儘管備援既花錢又耗費人力,但證券一天的交易量影響利潤甚鉅,更何況賠去的還有商譽,應該考慮清楚是否要賭這一把。

金融業比起其他產業,該買的解決方案是都買了,但大部分都是擺著卻未真正的去使用,所以怎樣真正的落實就是金融業的關鍵。平常重要的關鍵系統要是真的檢查出什麼問題,沒辦法解決就更加的麻煩,稽核也會很有共識的不拿真正關鍵系統稽核。像是之前出事的某金融業為了要符合ISMS,所以花大錢買了知名外商的產品,都裝好了放在那裡,結果出事之後,才叫廠商來看要怎樣設定,才又重新弄一次。剛開始都是表面功夫做得很漂亮,但實際的問題根本沒解決,直到出了事後反而才可能有真正的安全。

因應個資法準備工作多 先從基本的ISMS做起

根據資策會對台灣42家商業銀行所作的調查,僅有21.4%的銀行業者取得ISO 27001認證。但在個資法免責條款的驅動力之下,目前有不少金融業都在考慮導入資訊安全管理制度或標準。而根據資策會的預估,2011金融業的總IT預算為300億新台幣,其中資安投資為24.7億。金融業一邊在等待實行細則的同時,也同時在準備資料存取管理制度的落實、資料存取日誌保留技術、人員權限管理,資料加密、周邊輸出入管理及ISO 27001導入等。

 

金融業安全小提醒

1. 網路銀行的發達,使得網路安全仍然是金融業很大的風險議題,再搭配IT人員被特定的社交工程攻擊,就會造成威脅。
2. 擁有權限的人可能會從各種端點將資料洩漏,不僅是公司的桌上電腦,也包括實體文件、行動裝置等問題。
3. 金融業所採購的各種資安解決方案,相較其他產業或許不算少,但資安事件還是不斷發生,應該檢討的就是落實度,光作表面工夫是解決不了問題的。
4. 個資法準備:除了落實以外,準備工作還很多,或許可從通過國際標準驗證做起。

 

◎資安需求總表請至 資安二手市集 下載

◎相關系列文章:

企業資安需求─2011資安地圖 使用說明

企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多

企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要

企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險

企業資安需求(五) 中小企業-落實權限管控與分工 避免員工掌握過多資料

企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站

企業資安需求(七) 學術機構-校園好多洞 最少應好好遵循ISMS和加密