產業技術評析

一、金融業面臨的資安威脅

隨著開放銀行、純網銀與網路銀行等數位金融的應用發展，透過APP、網頁便能享用服務，不再受限於傳統實體地點，資料也不再由金融機構主導，而是將主導權交還給使用者，使其獲得更多元的加值金融服務；但在方便的背後卻也為金融業帶來更大的威脅。在國際貨幣基金組織(International Monetary Fund, IMF)的報告中顯示，網路攻擊嚴重的情況下，將造成金融機構有形抑或無形損失估計在2,700億到3,500億美元不等。

數位金融的發展使產業間的鏈結越來越緊密，金融機構內部人員、系統，跨國分行、環球銀行間金融通訊協會(Society for Worldwide Interbank Financial Telecommunication, SWIFT)等金融機構的上中下游、第三方服務供應商，都是攻擊的切入點；而顧客端對於駭客更是一個容易觸及的攻擊缺口，一旦某一處成功被攻破，便有很高的機率迅速蔓延到整個金融體系，影響多家企業，造成巨額損失，曾經的安全邊界不再分明，針對金融機構的攻擊管道增加，以下整理了歷年來針對金融機構常見的攻擊型態：

1. 網路釣魚(Phishing)：可細分成詐騙簡訊及偽冒網站(Scam SMS、Fake Website)、商業電子郵件(Business Email Compromise, BEC)兩類，冒充銀行傳送附帶惡意連結的詐騙簡訊或是偽冒銀行往來顧客、政府單位等，客製化郵件降低行員警惕，提高受騙機率，最終目的為竊取顧客關鍵資料或是金錢；據統計顯示，90%以上成功的網路攻擊都是從網路釣魚攻擊開始。

2. 進階持續性滲透攻擊(Advanced Persistent Threat, APT)：透過社交工程手法或系統的未修補漏洞來執行，潛伏在企業系統中一段時間，待熟悉系統架構與重要資訊的存放位置後發動攻擊。根據歐盟網路安全機構(European Union Agency for Cybersecurity, ENISA)的報告顯示，50%觀察到的供應鏈攻擊皆與APT攻擊組織相關。

3. 勒索病毒(Ransomware)：透過加密檔案來迫使企業支付贖金以恢復資料及系統運作，然而，根據英國資安軟體業者Sophos的報告顯示，當企業支付贖金後，其修復成本反而會翻倍，然而，金融機構為了避免資料外洩導致後續聲譽受損、面對鉅額罰款，因此大部分都會遵從攻擊者的要求，配合支付贖金。

4. 分散式阻斷服務攻擊(Distributed Denial-of-Service, DDoS)：主要是透過殭屍網路發送大量網路流量來癱瘓企業系統，以造成服務中斷，且常被用作調虎離山之計，用來混淆金融機構的資安團隊，進而進行後續盜領或是詐欺行為。

近五年著名金融機構攻擊事件包含孟加拉銀行盜領案、美國Equifax個資外洩案、智利銀行勒索病毒案、美國Capital One資料外洩案等，攻擊者利用系統未修補的漏洞、第三方服務供應商的漏洞、人員疏忽大意的心態等缺口進行攻擊，一次成功的攻擊不僅會造成金融機構鉅額損失，也面臨監管機關高額罰款，同時影響聲譽，降低顧客信任，進而導致顧客流失。
 

二、資安因應策略部署現況

隨著攻擊管道越來越多元，為了抵禦來自四面八方的攻擊，金融機構不僅須防範內賊，還須確保委外合作廠商的資安強度是否足夠，因應日新月異的攻擊型態而衍生的資安策略也越來越多；端點偵測與回應、端點防毒等便是解決勒索病毒最重要的防護策略，透過確保存取端點的安全降低駭客植入病毒的機率，若不幸被勒索，導致企業系統資料遭加密，透過異地備援可以大幅減少勒索病毒帶來的威脅並加速系統的恢復能力。

網路存取管理、DDoS防護、防火牆等網路安全產品則是用來防範DDoS攻擊的發生，流量檢測、弱點偵測等服務則可幫助金融機構找出駭客可能入侵的管道以及流量異常的網路區段以提前做出防護策略，降低攻擊成功的機率，也能在攻擊發生後盡速解除服務中斷的狀況，降低事後修復的成本。

APT攻擊在執行之前會在系統潛伏一段時間，因此透過入侵檢測與防禦、威脅情資蒐集與分析便有機會在攻擊發生之前將藏身於系統中的惡意程式移除並增強相關存取點的防護，透過定期運作弱點測試、滲透攻防等服務找出系統的漏洞或是資安防護薄弱的地方，在攻擊事件發生前進行強化。

如今的詐騙郵件、簡訊、釣魚網站越來越難以辨識，尤其在駭客竊取相關資訊後，即便是受過資安課程訓練的人員也分辨不出真假，因此，為了降低人員遭詐欺，不僅要定期實施社交工程演練、資安意識養成與訓練來培養人員資安意識，加強其辨識能力，並利用部署電子郵件安全、偽冒網站辨識等資安策略來補足人員的疏漏，為了減少因人員疏忽而導致的資安事件，金融機構也開始採用人工智慧、機器學習等自動化分析的方式來辨識惡意郵件，並加以阻隔。

針對金融機構的攻擊事件，不一定只包含一種型態，有可能是APT攻擊加勒索病毒、勒索病毒加DDoS攻擊，為了抵禦複合型的攻擊，金融機構漸漸採取以「身分識別管理」為核心的零信任機制，透過持續性的身分驗證、網路分段存取等策略阻止攻擊的入侵、降低攻擊蔓延的機率，從攻擊的第一道防線開始提供企業全面的資安防護。

隨著時間的推移，金融機構對於網路的依賴越來越高，因此，投入於網路安全項目的支出占比最高；因應數位金融、居家辦公的發展而衍生出的需求，包含網路銀行帳戶的增加、要求存取的端點增加、資料遭竊的比例提升，促使金融機構在整體資安支出配置上在身分識別與存取管理、網路安全治理、應用程式與資料安全、第三方服務供應商安全管理這四個項目的成長比例最高。
 

三、結論

隨著數位金融應用服務越來越普及，針對金融機構的網路攻擊日益增多，攻擊也多為複合式攻擊，企業的安全邊界逐漸模糊，傳統的防火牆、防毒軟體不再能抵擋所有攻擊，因此，金融機構須採取紅藍隊演練、威脅情資等新興資安策略來提高攻擊的可見度，並擁抱人工智慧、機器學習等自動化技術加快回應速度，以降低攻擊的發生機率及可能造成的損失，並透過部署以持續進行驗證的零信任機制，提供金融機構包含事前、事中、事後完善的資安防護策略，以抵擋對金融機構的供應鏈攻擊。

金融機構在整體資安投資的重點以網路安全為重，再來為應用程式與資料安全，隨著金融體系越加緊密，針對金融業的供應鏈攻擊越來越盛行，因此，金融機構也積極著手於第三方服務供應商安全管理，並採取零信任機制部署全面性的資安防護網，降低攻擊蔓延的可能性；而臺灣的開放銀行、開放API、純網銀等新興金融科技相對國際發展速度較慢，才剛開始萌芽，因此，對於臺灣金融業，第三方服務供應商安全、零信任機制的採用皆逐漸成為資安部署關注項目。
 

(本文作者為資策會MIC執行產業技術基磐研究與知識服務計畫產業分析師)