2019 金融資安無限之戰 End Game 研討會：掃除資安盲點才能狙殺駭客

2018 年 3 月，金管會修法，規定總資產逾新台幣兆元以上的金融機構，必須要設立獨立的法規遵循部門與資安專責單位，將資訊安全工作從 IT 部門獨立成事；2018 年 6 月，金管會建立橫跨金融機構的金融資安中心 (F-ISAC)，希望能夠促進金融產業之間能相互交換資安攻擊威脅情資，並期望金融單位能夠第一時間通報資安攻擊事件。

面對現實，金融機構一向是駭客攻擊的最高價值目標，不論是入侵主機端應用系統，或是潛入滲透企業員工的用戶端，甚至是針對 IoT 端點的感染、阻斷應用系統的 DDoS 攻擊等，都是集團化的駭客組織進攻金融機構持續不斷演化攻擊手法的結果。

NETSCOUT Arbor－威脅情資分享與攔截

「企業的資訊安全防護其實與古代的城池防禦工事相同，都是逐層建構的。」NETSCOUT Arbor 大中華區技術總監卓芳緯如此譬喻。在層層防護建置中，最外圍是防止流量攻擊 (Anti-DDoS)，而後有新世代防火牆 (NGFW)、入侵偵測 (IPS)、安全閘道器 (Secure GW) 等，再進入一層則有沙箱 (Sandbox) 與資安分析，再來是網頁應用程式防火牆 (WAF)，最內層則有近年來興起的 SIEM、UEBA、EDR 等。

即便已建構層層防禦，但資安問題依然層出不窮，而且一次比一次嚴重，這些資安設備為何沒發揮效用呢？關於此有幾個因素，一是資安設備是需要微調的，若沒有微調資安管理人員很容易被大量警訊所淹沒，難以察覺與專注在真正的威脅，二是資安設備與城牆相同，城牆被打破需要修補，資安設備也要時時進行更新補強程式 (patch) 才成常保安全。由於資安設備的失調，使設備無法發揮即時防禦效果，變成只在資安事件發生後做為查證工具，甚為可惜。

因此企業需要更先期與主動的防禦，即是導入資安威脅情資，而情資又包含三個層面，一是在戰術面提供入侵指標 (Indicators of Compromise, IoC)，二是在運作層面的威脅分析，三是研擬防禦策略。現在世界各國的資訊分享與分析中心 (ISAC) 多將資安威脅情資視為新工作重點。

情資分享可提升資安防禦，但隨即產生一個新問題，由於 IoC 數量龐大，曾有 NGFW 在餵入 5 萬筆 IoC 後因過度負荷而無法運作，對此除了升級 NGFW 外，更建議改行 NETSCOUT 的威脅智慧平台 (Threat Intelligence Gateway, TIG) 來承接大量 IoC，使 NGFW 專注於原有的工作。

更重要的是 NETSCOUT 有獨到的主動威脅情資分析中心 ATLAS，能觀察全球 1/3 的流量，能監督暗網與 Botnet，並在各處建立誘捕系統 (Honeypot) 以捕獲各種威脅，包含攻擊嘗試、殭屍網路傳遞與 DDoS 攻擊等，如此使 ATLAS 的情資更完整精確。

進一步的，在整體的層層防禦中也建議加入 AED(Arbor Edge Defense)，透過 Edge Defense Manager，企業可以統整分析 IoC 警示、統整分析 DDoS 警示，並拼湊出威脅的前後脈絡，特別是在內部端點受感染時，端點試圖連至外網，也會被更具智慧性的 AED 所阻攔，相對的 NGFW 與 IPS 卻未對此有所警覺。

最後卓芳緯總監也說明了 NETSCOUT 與 Arbor 正式整合後將產生的綜效，過去資安事故發生後，資訊長總會問這是被駭入導致的？還是我們自己的設備出現缺漏或故障導致的？對其他業者而言他們可能無法完整回答這一問題，但 NETSCOUT 與 Arbor 的結合則可以給企業客戶一個完整全面的回應。

Gigamon－整合資安設備的資安訊息平台

「許多資訊長有個疑問，買了這麼多資安設備後是否就表示夠安全了？設備愈多所要配置的監管人員也要增加，能不能別再買了？」Gigamon 台灣區域銷售總監錢旭光道出今日企業在資安防護上的痛點與疑問。

事實上還有更大的挑戰在等待著企業，企業的流量成長大於資安設備的效能提升，資安設備漸感吃力，加上進出企業的封包愈來愈高比例以加密方式傳遞，已高至 70%，若不能解密加以檢視，資安設備只能檢查剩餘的 30% 封包，價值大減。

更令人擔心的是，資安威脅已更全面且多元，愈來愈多企業導入虛擬化，虛擬機器間的互動也可能有資安顧慮；愈來愈多企業導入物聯網，物聯網設備的資安防護較薄弱，例如之前知名的第一銀行資安事件即從 ATM 入侵，台積電也因工作機台中毒而大受損失。

很明顯我們即將進入一個無邊界的資安時代，以傳統網路介接架構為主體再行搭建的資安防護已逐漸難以滿足需求，企業需要全新的網接、資安設計，資訊產業研究調查機構 Gartner 將此稱為網路封包仲介器 (Network Packet Broker, BPB)，Gigamon 的對應方案則稱為可視化平台，而從資安的角度而言則為資安訊息平台 (Security delivery platform)。

運用 Gigamon 的資安訊息平台，將企業的所有連線均導接到平台上，而後由平台判別與再行傳遞封包，例如接收的僅是來自 YouTube 的視訊串流封包，由於封包不具安全問題因而可直接通行，而對於需要查驗的封包則會轉傳遞防火牆、入侵偵測等資安設備上，而加密的封包也會先行導引到解密設備上，解密後同樣交由防火牆、入侵偵測等設備檢查，確認安全無虞後重新加密傳遞。

導入資安訊息平台後，透過更智慧有序的傳遞，只有真正需要查核的封包才會送入資安設備內，如此即便企業流量持續增長，也不需要完全對應增加資安設備的效能，延緩資安設備的升級、增購需求。也由於平台執掌所有傳遞，若有資安設備失效故障，或需要升級而暫時停機，平台也能將封包轉交給其他仍可運行的設備負責。

最後錢旭光總監也列舉國內市場實績，國內已有數十家知名企業與機構採行 Gigamon 平台，其中以金融業最多，如玉山、台新金控，在國內的外國金融機構也積極導入，如美林、星展銀行。其次是教育機構與政府單位，如政治大學、台北科技大學，或財政部、台中市政府，另外國內的五大家電信也有四家採用，科技業如半導體廠的華邦電子、資安軟體與雲端服務的趨勢科技等均有採用。企業的採用更進一步肯定可視化平台、資安訊息平台的價值。

中芯數據：只要威脅不能全程作用，危害就能被控制

「為何資安防護的現實與期待之間總有落差？」中芯數據技術長吳耿宏說出今日諸多資安人員的心聲與痛點。資安攻防與現實戰爭相同，隨時代會日新月異，過去在進入企業的閘道端佈署重兵防守，但駭客改用社交工程、APT 等更精妙手法，威脅從天而降、精準打擊，讓企業防不勝防，這是第一個落差。

第二個落差是駭客登門入室後為何設備沒有察覺？駭客到底到了哪一台機器 (指個人電腦或伺服器等端點)？又在機器上做了什麼？對成千上百台機器的企業而言這如同大海撈針般的難題。巧的是這兩個落差在整個資安事件演變程序中正好是前後關係，如果我們無法將所有威脅阻絕於外，至少在進入後能標定其蹤跡並及時阻攔其危害，此即是網際狙殺鏈 (Cyber Kill Chain) 的概念，只要威脅不能全程作用，危害就能被控制。

雖然消弭第二個落差較為可行，但實務上也有難度，以人工方式鑑識一部機器即需半小時至兩小時的時間，逐台人工檢視不切實際，且目前多是在事發後才進行鑑識，而不是及時防範。因此中芯數據提出的方案是運用人工智慧與雲端服務等技術，將自動化方式實現大量機器的即時鑑識。

鑑識聽來只是簡單二字，但其過程卻牽涉諸多技術與專業，吳耿宏技術長說明一個傳統人工鑑識程序，包含檢視開機常駐程式、追蹤不明與可疑程式的發行機構與路徑、追查路徑所在程式的執行動作、對外呼叫的網址，比對各運作的前後時間順序等，進而抓出威脅脈絡。中芯數據即是將此一人工程序改以自動化、雲端化，以人工智慧研判比對，因而能大量即時鑑識。

最後吳耿宏技術長也針對近年來極熱門的威脅情資服務提出看法，一是情資有時效性，一旦公佈威脅後駭客很快會放棄該攻擊手法；二是區域性，有些攻擊方式多用於金融業，有些則是政府單位，此必須事先了解；三是可用性，防火牆、入侵偵測等資安設備效能有其限，餵入大量情資後有可能無法承載，設備的承載能力也必須考慮。

此外情資只能防禦已知威脅，目前尚難做到防禦未知威脅，企業必須真確了解情資服務的能力與範圍才能善用情資，而非過度期許與事後失落。而中芯數據的 IPaaS 服務則能提供本土在地的即時情資。

當企業對資安有新的認知與因應，才能避免無窮迴圈式的資安事件發生，否則千篇一律的資安事故新聞將持續上演，如威脅成功潛入 XX 次、潛伏 YY 天，最終遭受 ZZ 攻擊而造成重大損失。希望這類的新聞能從此消失。

金融業資安防禦經驗分享座談會

網路資訊總編輯謝至恩：隨著金融科技 (FinTech)、數位轉型 (DX) 的提出金融業有了更大的轉變，僅是使用手機就能查帳、轉帳。然而相對來說，一旦遭受資安攻擊危害範圍也更加擴大，金融業未來可能要面對何種新形貌的資安威脅呢？

NETSCOUT Arbor 大中華區技術總監卓芳緯：其實 2012、2013 年起美國大型銀行就已遭受過流量攻擊 (DDoS)，去 (2018) 年也有一波，所以 DDoS 是必須提防的。另一是駭客入侵後導致的資料外洩愈來愈嚴重，各國金融監理單位多對此提出新基準要求，毫無疑問避免資料外洩已是重點所在。

中芯數據技術長吳耿宏：金融業為了提供更多更廣的服務而設置了更多伺服器，但隨著伺服器增多，以及有些伺服器服務也開始轉移到雲端上，企業對各系統的掌握度也隨之降低，這成了資安新挑戰，加上虛擬化技術運用的普及，與其他業者串接合作增加等，傳統以實體方式管控、以牢鎖在機房內的防護方式已不可行，終究要面對新難題。

謝：金融服務日益多元，金融系統除了直接服務終端用戶外，愈來愈多服務是需要與其他業者的系統自動化介接的，因此是否也當關注機器間資訊交換、傳遞的資安？

Gigamon 台灣區域銷售總監錢旭光：如我之前所言，今日的資訊邊界已逐漸模糊，資訊從四面八方來，威脅也隨之而來，而且攻擊工具較過去容易取得，成為駭客的技術門檻變低，加上從任何一處都可發動攻擊，成了新資安問題，因此能否看到所有訊息成了防護重點。

謝：近期金管會開始成立 F-ISAC，期許資安威脅情報能共享，資安情報就實務面而言是否真的重要？

卓：網際威脅情資 (CTI) 交換確實日益重要，這類似聯防概念，目前成立的 F-ISAC 屬於國內金融業的通報，但還必須結合國外的通報才算全面，而且這些通報必須以相互協議或標準化的格式，以自動化、即時交換傳遞的方式，才能達到最大的防護效果。

吳：情資確實有其價值，特別是駭客不是發動單一攻擊，而是廣泛攻擊時情資格外有用。不過情資也有其限，不是所有網路設備都能餵入情資，而情資多半是 IP、Hash 等資訊，有些設備不勝負荷，通常捨 Hash 而只餵入 IP。不過情資也可能不完全，倘若惡意程式已入侵到內部，雖然我們已在閘道端餵入新情資以阻絕惡意程式連外，但惡意程式有可能有第二、第三連外路徑，若情資內沒有詳載，則惡意程式仍可能順利連外。

謝：金融業除了內外網邊界開始模糊外，設備數也在增加，亦即南北向擴張外東西向也在擴張，對此是否有因應解方？

錢：是的，在東西南北向均擴增下，掃除資安盲點 (Blink Spot) 是很重要的，建議運用可視化平台辨識所有流量，讓潛在威脅最小化。