以資安聯防構築完整金融資安防護

遠東銀行國際匯款系統SWIFT遭駭盜轉18億元的資安事件，金管會透過新聞緊急提出4大新要求，確保台灣銀行業者落實SWIFT系統的安全性，這些要求分別是：網域隔離、網路實體隔離、透過操作室存取，以及遠端存取以雙因素認證。

此外，自2013年起孟加拉銀行的SWIFT系統攻擊事件後，SWIFT組織以及國內主管單位皆已提出許多強化或管理措施，各金融機構必定也在收到主管單位發文要求強化後，立刻進行部分強化檢視，但這次事件依然發生。因此，透過個案的重新檢視，全面審視通案的資安維運是否仍有未考量周延的議題，以達成資安聯防的核心精神——情資分享、案例學習、對策交流、聯合防禦。

從iThome新聞揭露的McAfee調查結果、金管會說明重點事件彙整如下：

・情資顯示源頭為兩封釣魚郵件，其註冊的惡意Domain是位在孟加拉的所在地（McAfee調查報告）。

・發現的6個惡意程式中，其中一惡意程式發現，駭客已取得了2個具內部網域管理者權限的帳號與密碼（McAfee調查報告）。

・SWIFT系統實體隔離並未落實（網域隔離、網路實體隔離）。

・偽冒電文盜轉匯款，並利用勒索軟體加密檔案，破壞跡證干擾調查。

成立CSIRT面對資安事故

日前依據主管單位的指示，許多金融機構陸續將資安單位從IT維運單位獨立出來，並同時構思成立CSIRT（Computer Security Incident Response Team）應變團隊，但既然已經有資安單位了，是否仍須再成立CSIRT應變團隊？實際上，目前金融機構所獨立的資安單位，擔負了資安事故緊急應變處置與溝通協調的功能角色與權責，自然也具備了CSIRT應變團隊的核心功能，所以應是並行不悖，然而關鍵問題在於如何有效運作與實行。

而資安單位CSIRT團隊建立的相關作業可參考如CMU卡內基美隆大學軟體工程研究所撰寫的Handbook for Computer Security Incident Response Teams（CSIRT），或藉此審視目前資安單位的運作方式與功能，明確定義權責與責任範疇，以及緊急應變作業啟動的授權，確認應變所需資源取得方式等議題。

在第一時間掌握狀況與有效的控制問題，往往是阻止事件擴大的關鍵。CSIRT團隊成員在面對這類資安事故，從資安情資的因應到異常資安事件日誌的日常檢視，再到事故發生時的橫向溝通、緊急災損控制與事故調查，都扮演至關重要的樞紐角色。

如何有效與經營階層溝通、迅速取得內部橫向單位的資源、識別，且及時找到熟悉相關資安事故類型處理的外部專業資安團隊等相關事前準備工作，都是平常必須預先推演準備好的，以避免在事故發生時，才開始釐清逐層或尋找適當的應變授權、找不到內部的負責單位，抑或才準備要開始尋找適合的外部專業單位，這都會影響資安事故應變的時效。

金管會對SWIFT資安要求

根據目前調查顯示，雖然SWIFT電文放行工作站有實體隔離，但SWIFT主機並非實體隔離。另外，從被揭露的駭客惡意程式分析結果來看，網域管理權限也被取得。因此，大致的入侵方式已被拼湊出來，駭客很可能藉由具網路存取權限且在同網域的工作站，對SWIFT系統發動攻擊，偽造電文盜轉匯款。

細探實務上，SWIFT主機需要執行軟體更新、應用程式佈版，甚至監控其可用度或主機健康狀況等管理因素；在配合業務執行上，也可能允許外點分行終端機連線作業，透過防火牆安全政策管控，導致須開放允許部分不同網段的主機對SWIFT系統進行存取，也因此不能達到所謂的完全實體隔離的資安防護效果。類似此類的作業，可評估將管理者的電腦或具操作權限的終端電腦，使用Thin client虛擬桌面或利用VPN進行虛擬隔離，且須將網域隔離，避免一套帳號密碼就可在內網走透透的單一認證。

另依據風險判斷，將分行電腦、辦公區域電腦、伺服器，甚至是核心作業的伺服器獨立不同網域（網域切分越細，管理成本越高），尤其使用Windows作業系統來安裝SWIFT Alliance Access （SAA），若有加入Windows網域（Domain），更須注意網域的獨立切分，避免因網域管理者帳號密碼外洩，讓駭客有機可乘，潛入SWIFT系統進行操作。最後，遠端存取使用雙因素認證，提高認證強度，避免帳號密碼被駭客竊取後可輕易偽造電文。

規劃核心系統監控機制

許多參與這次事件調查的專家不約而同指出一個重要的觀點，應注意監控核心系統或關鍵終端機任何可疑的訊息，所有不該出現任何警示的地方，就算只出現一次警示，都必須進行追查。在多數的駭客內網入侵案例上，駭客並非一進到銀行內網就馬上可以存取系統，並進行偽冒盜轉匯款作業。駭客通常須花一些時間了解內網的環境與架構，在這段內網潛行的期間，駭客會嘗試利用各種駭客工具擷取網域帳號密碼等資訊，也極有可能在重要主機伺服器上產生病毒訊號或異常的訊息，甚至更有可能在尚未清楚銀行的防火牆連線管制政策時，在管制對外連線的主機上，嘗試對外連線因而產生了對外聯網拒絕的日誌紀錄。

上述這些細微的訊息，稍縱即逝，一旦駭客了解了內部的資安政策、防火牆管制原則、存取原則，甚至測試出防毒程式無法識別的駭客工具後，要再監控發現到異常的活動日誌就會變得相對困難了。所以第一時間的資安監控告警機制相當重要，也是駭客進入銀行內部網路尚未完全掌握時，快速移除阻斷的最好機會。

但實際上，許多資安監控機制並未依照銀行內的核心系統規劃適當的資安異常監控規則，資安監控只單純監控IPS入侵防禦設備事件或蒐集設備的日誌，單就這樣的即時監控機制，並無法於第一時間告警駭客在內部潛行的活動警訊，有效的資安監控規劃應由資安顧問根據核心系統風險，並根據可存取來源規劃適當之資安監控機制，才能避免資安監控形同虛設。

建立有效情資交換生態鏈

資安情資分享是目前政府與主管單位在極力推動建立的機制，期望以資安情資交換，達到快速的資安聯防效果。而對資安單位來看，每日、每週、每月都有大量的資安更新訊息、資安新聞、資安攻擊手法等，如何判斷情資影響與風險，如何擬訂適當的因應或準備對策、設計對策或管制機制的適切與否、管制產生的額外作業成本是否高於風險發生所須付出的代價，這都是在面對資安情資時，資安專業人員所須進行的判斷。

以這次遠銀的案例來說，2016年金管會已發文要求各銀行加強SWIFT系統的資安管制，針對這類資安情資或主管單位要求進行的應變，往往取決於負責清查資安對策的資安單位承辦人，要對防範機制正確實作有最佳實務的理解，常常需要內部相關單位提供足夠正確與完整的資訊，要有足夠經驗與技術能力，來判斷是否有依照對策背後的原意正確落實。

在技術面，可請具備資安維運實務經驗的外部資安專業團隊顧問協助檢視；而內部的溝通，就須仰賴資安單位平日與相關技術單位實務運作細節的了解，邀集相關單位與外部專業顧問召開應變對策會議，也是一種常見的決策方式，用來拿捏資安情資應變準備如何有效施行，以及施行程度力度的判斷。

從一銀ATM盜領案到本次遠銀的SWIFT盜轉匯款案，除了民間產業的調查資源外，也包含法務部調查局、警政署偵九隊等政府組織資源的主導協助。政府在犯罪調查與跨國追查確實幫助企業減少了許多損失，這也讓資安應變團隊有不同的思維，在碰到重大的資安事故時，尤其是駭客跨國犯罪追查，如何在調查的過程中有良好的官民合作模式，讓事件造成的損失降到最低。

這次被駭客盜走的匯款損失是否涵蓋在資安保險理賠的範圍呢？答案並不盡然，若投保的類型屬資料保護保險類，主要是針對行政罰鍰、名譽修復費用和後續調查費用，並無法針對駭客匯款盜領的金額直接進行賠償。資料系統不法行為保險這類的保險，在銀行遭受駭客攻擊事件造成資產損失時，才有可能依照理賠條件，包括理賠上限，以及議定的銀行自負額等條件下進行理賠。

值得仔細探究的是，若非駭客直接竊取銀行資產造成損失，例如勒索軟體贖款或DDoS攻擊造成業務中斷損失，並不在這類保險涵蓋的範疇。評估透過資安保險作為事後的補償機制，如何購買適合的險種，可盤點核心業務發生資安風險造成的損失，以及近期國際資安威脅議題來進行評估。而資安保險保費也都相當高昂，目前國內亦有在研擬根據資安數據蒐集，計算資安管理成熟程度，來適時反映在投保費用上。

聯防維運構築起全面防護

資安單位在進行資安維運作業與應變對策須考量許多議題，從CSIRT團隊設立的角度來檢視目前資安單位的功能、識別目前尚未適度定義或管理的議題；在資安事故發生前，針對可能的情境，確認適當的通報與應變對策決策或授權方式，當在事故處理時，能更專注緊急事故處理，盡速控制住可能的災害損失。

從案例中學習有助於正確擬定適當的對策，適當規劃防護與資安監控機制，確實監控到核心系統的異常進行告警，並評估適當的保險補償機制，以及重大國際資安事故的官民合作，藉由開放態度分享資安情資與處置對策。從事前的資安維運準備工作以及CSIRT團隊的功能檢視，事中的監控通報災損控制以及良好的官民合作，到事後的保險補償與案例分享，串聯單點資安防護思維邏輯，藉由資安聯防構築整個資安防護面，形成一資安聯防生態系統。（整理︱關貿網路營運服務群）