快訊

    金融業導入零信任架構指引出爐! 強化內網、設四分級階段指標

    2024-07-18 17:00 / 作者 陳俐妏
    金融業導入零信任架構指引出爐! 強化內網、設四分級階段指標。資料照
    金管會今天發布金融業導入零信任架構參考指引,將以風險導向分四階段,擇高風險場域先行,建立資安防護框架。由於資安防護分為內網和外網,推動零信任架構就是永不信任,即是假設駭客進入內網,金融機構也得以檢視關鍵資源保護,也能有相當等級的防護阻擋,未來會定期調查導入計畫進程,後續會評估納入自律規範。

    金管會針對38家本國銀行、壽產險40家,證券19家等金融機構在上半年調查資安調查。提出零信任架構指引,建議機構採風險導向,擇高風險場域為優先導入零信任架構之標的。

    舉例相關場域,包含非屬傳統資安防護邊界範圍內的遠距辦公及雲端存取;具備特權或高權限者,如重要系統主機及資料庫等之維運管理、應用系統中的帳號管理員或可接觸大量機敏資料之使用者等;以及因應供應鏈攻擊趨勢,對委外廠商或跨機構協作之存取管理。

    金管會參考美國網路安全暨基礎設施安全局(CISA)發布零信任成熟度模型 2.04,依身分識別、設備、網路、應用程式與工作負載、資料等五支柱。

    並依據台灣金融業屬性和既有資安防護能量進行調適,導入零信任架構四階段,分別為靜態指標、動態指標、即時指標、整合指標等四階段,以完整存取路徑(身分、設備、網路、應用程式、資料),由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面,參考分級指標分階段導入資安管控措施。

    分級指標中第一級為靜態指標,著重在既有資安防護機制優化整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密由關鍵資源存取路徑強化防護縱深。

    第二級融入動態指標,主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性增納為授權審核條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。

    第三級以即時指標為主,建議整合資安監控機制,於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌,對入侵指標(IOC)或攻擊行為樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。

    第四級為最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。

    金管會表示,未來將定期調查導入規劃及進 程,與各同業公會、周 邊單位共同依據對各金 融業別屬性、規模及業 務風險等,衡量實際資 安防護需求及執行可達 性,適時納入資安規範, 提升整體資安防禦水準。
    陳俐妏 收藏文章

    本網站使用Cookie以便為您提供更優質的使用體驗,若您點擊下方“同意”或繼續瀏覽本網站,即表示您同意我們的Cookie政策,欲瞭解更多資訊請見