當IT資訊與產業結合服務的型態也隨之轉變,如近幾年各國金融談的金融科技(FinTech)就是一個例子。藉由IT資訊技術的數位化轉型,讓傳統的金融服務能以創新的方式帶給消費者不同的服務體驗。因此當與金融業務緊密結合的同時,對IT資訊也產生了一些本質上的轉變。
拉高安全管理層級 內化到每個業務環節
勤業眾信協理林彥良提到,以往金融業的IT資訊通常與業務部門分開,主要定位在提供後勤支援的技術平台。但隨著數位化轉型的過程中,IT資訊角色也不斷地向前進步。因為企業在設計相關金融服務時,如果為搶佔市場先機趕著推出產品,相關的安全問題卻未防護周全,一旦發生問題,嚴重的話甚至可能要將整個業務推倒重新來過,試想這樣的衝擊有多少企業能夠承受呢?,所以IT資訊角色不但需要往前行,甚至需要開始與業務緊密結合。
除了因金融創新業務的考量,使IT資訊人員在企業的定位產生轉變外,另一個就是網路攻擊趨勢的不斷昇高。現在的駭客組織不但分工細密,且彼此間緊密合作,以組成更先進的攻擊團隊。以此次孟加拉銀行的盜領事件為例,這些駭客要懂得環球銀行金融電信協會(SWIFT, Society for Worldwide Interbank Financial Telecommunication)的作業流程、電文的格式內容、交易邏輯,甚至是交易失敗後也知道要清除記錄,可以說這些駭客對金融業務比相關從業人員還清楚。在這種情況下也讓金融科技在資安上面對到更多的挑戰。
所以在服務創新的同時,除了業務部門外,還需把IT資訊、法務等相關單位加進來諮詢,以確認各個環節是否有法規遵循上的風險與問題。對於安全風險的評估,也會從以往單純的資訊安全,拉高到具體的作業層次。所以未來資料保護會以業務的角度去看,從與業務相關的安全控制切入,這意謂資料保護將不只受限於個資範圍,甚至是與營業等關鍵基礎活動的資料都需要納入。
因此當資安不再是單純的技術議題,而涉及到業務活動的範圍時,相對負責的管理人員也應該拉高到董事會的層次。需要將各個業務環節納入思考資訊安全的防護,把對資安的要求內化為整個FinTech數位轉型的一部分,這樣才能成為在全球金融下的競爭利器。
管理著眼 技術著手
為了達到資料保護與業務相關活動不受影響,對安全的控管一方面要從管理著眼,檢視金融科技的創新服務是否存在商業邏輯的漏洞?具體上則從技術著手,採取縱深聯防的安全策略。例如FinTech很多依賴行動網路科技為基礎,所以一旦遭到DDoS攻擊時將對業務重大影響。對此可採用多層次防禦的方式,在外層透過電信業者進行第一步的流量清洗工作,接著在自身的網路閘道口設置像IPS、WAF來做過濾,最後在系統核心的部分就是增加系統的負載備援能力,以免遭到癱瘓。但其實目前對DDoS攻擊並沒有完美的解決方案,這些防禦措施的作用在逐步緩解DDoS對業務的衝擊,盡量維持低限度的日常運作,讓網路服務不致完全中斷。
以虛擬化技術打造雙網隔離
在資料的保護上,由於許多的資料外洩事件都是來自使用端上網行為不當,或是駭客利用未更新的程式、系統漏洞進行攻擊。因此可以透過應用程式虛擬化,或桌面虛擬化的技術來建立不同的網路分區,讓實體的內外網路隔離,把使用者、應用程式、資料三者分開,禁止未授權的跨區存取行為來保護資料。
在網路架構上則是把內網與外網隔離,中間加入一層跳板區,讓所有由外到內、或由內到外的網路連結都需經過跳板區,以Proxy的代理機制連結網路。實際做法上可用虛擬化的方式,Citrix Systems資深業務協理鄭志偉以銀行理專執行財務分析程式為例,透過應用程式虛擬化的方式,把財務程式發佈到理專人員的裝置上。使前端人員看到的僅是畫面,無法列印;即使擷取網路封包也只有螢幕畫面,並無實體的資料傳輸,以確保所存取的資料仍保留在遠端的資料中心裡。並可搭配全程錄影監控使用者行為,作為事後稽核之用。而且把應用程式集中在後端的資料中心,也便於版本上的管理,避免因為漏洞更新所導致的安全問題。對內網員工來說,即便電腦被駭成為僵屍網路的一員,因為與對外網路的實體隔離,也不會傳輸資料到外部。而放在跳板區作為代理的是無硬碟的電腦,不但減少電腦中毒的機會,即便記憶體感染惡意程式,也只需重新開機即可清除惡意程式。
看得到、看得懂 才管得到
上述虛擬化的方式是經由底層IT資訊基礎架構的改變,以區隔保護重要資料。但如果想在現有架構下進行補強的話,就要做到看得到、看得懂組織內的設備狀況,與正在發生的網路訊息。首先是看得到,Tenable Network Security資深行銷經理Robert Healey以零售業為例,稍具規模的零售業者會以即時銷售系統來統計店內各項物品的存貨數量,藉以了解店內每日的營運狀況。但換做是企業的IT資訊部門的話,是否能馬上掌握組織內使用的各項設備數量?安裝的是什麼系統?漏洞修補的狀況如何?相信許多IT資訊人員都未必能回答這些問題。
因此要強化企業資安防護的話,先要能掌握內部設備的狀況,與網路活動的情形,所以Robert Healey強調:「你無法管理你看不到的東西」。但隨著業務的不斷成長,組織內的設備與網路活動日趨多樣與複雜,此時過多的資訊反而會讓IT資訊人員無所適從。這時就需要有良好的管理平台來彙整所有的訊息,再透過關聯式的分析,過濾出最重要的資訊,呈現在管理儀表板(Dashboard)上,讓資安人員能一目瞭然。然後依照80/20的法則,將20%時間花在最嚴重的安全威脅上,以解決80%大部分的資安問題。
選用資安服務彌補人力、能力的不足
能看到掌握組織IT資訊活動的資訊還不足夠,接著還要能「看懂」這些資訊。不一定所有的企業都能建置SIEM平台,或有足夠的人力來時時監控這些資訊。這時也可以考慮採用廠商所推出的資安管理服務,來協助企業掌握內部異常事件的資訊。像華電聯網推出的MSS(Managed Security Service)資訊安全管理服務,就是以Splunk平台為核心,用來收集客戶內部設備的訊息,並結合思科的資安威脅防禦技術進行異常行為的分析。讓企業看懂各種訊息交叉分析後所代表的異常行常警訊,進而即時阻擋威脅,或縮短事件回應的時間。
IT資訊科技不斷演進,對IT資訊從業人員來說要不斷的充實技術,才能跟上時代。除了瞭解新興科技外,IT資訊人員還要結合不同領域的產業知識,例如將IT資訊與金融業務流程結合,形成產業的Know-how在職場上增強競爭力。