金管會於 2024 年 7 月 18 日發布「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。參考指引中,建議金融機構採風險導向,擇高風險場域為優先導入零信任架構,例如場域包含非屬傳統資安防護邊界範圍內的遠距辦公及雲端存取;具備特權或高權限者,如重要系統主機及資料庫等之維運管理、應用系統中的帳號管理員或可接觸大量機敏資料之使用者等;以及因應供應鏈攻擊趨勢,對委外廠商或跨機構協作之存取管理。
零信任架構導入策略
現行銀行、保險、證券等業別多已於高風險應用場域具有一定基礎之資安防護,如採用高強度密碼或雙因子身分驗證,並就設備建有作業系統更新及防毒碼更新機制、網段區分外部網路、DMZ 、營運環境及其他如內部辦公區,定期進行應用程式安全檢測及資料加密儲存等。建議金融機構以既有資安管理機制為礎,參採零信任架構概念,為分階段之補強及優化。考量零信任架構於實務上不可能一步到位,可與既有資安管理機制並存,建議以關鍵保護標的為核心,盤點資源存取路徑(身分、設備、網路、應用程式、資料),由外而內縮小攻擊表面並增進防禦深度、由內而外擴大防護表面。
「金融業導入零信任架構參考指引」參考美國網際安全暨基礎設施安全局 ( CISA ) 零信任成熟度模型,並依據我國金融業屬性及既有資安防護能量進行調適,區分四階段分級指標,建議盤點高風險場域之完整存取路徑(身分、設備、網路、應用程式、資料),由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面,參考分級指標分階段導入資安管控措施:
第一級為靜態指標,著重在既有資安防護機制之優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等,由關鍵資源存取路徑強化防護縱深。
第二級融入動態指標,主要採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性(如時間、地點、設備合規狀態等)增納為授權審核條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。
第三級以即時指標為主,建議整合資安監控機制,於安全資訊與事件管理平台( SIEM )收容及整合資源存取相關事件日誌,對入侵指標( IOC )或攻擊行為樣態(如 Mitre ATT&CK TTP )等進行即時的偵測、判斷與應處。
第四級為最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。
零信任架構實作建議
(一)風險導向,擇高風險場域先行,場域例舉如下:
- 遠距辦公:使用者及設備位於傳統資安防護邊境外。
- 雲端存取:雲端資源位於傳統資安防護邊境外。
- 系統維運管理:含重要主機設備及系統軟體(作業系統、資料庫等)之特權帳號管理。
- 應用系統管理:重要應用系統之管理者(如帳號管理員)或高權限使用者帳號(如可接觸大量個資或機敏資料者)。
- 服務供應商:如委外廠商之遠端維運管理。
- 跨機構協作:如重要應用系統開放予外部使用者從外部存取,其人員到離或使用設備非屬本機構管控範圍者。
(二)循序漸進,擇基礎原則先行
依前述高風險場域之完整存取路徑(即身分、設備、網路、應用程式、資料 5 大支柱),評估既有資安防護機制之完備度,依傳統、初始、進階及最佳等四階段導入相關控制措施。
金管會表示,參考指引屬行政指導,金融機構於導入實務仍得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適,或另為適切之規劃。金管會亦將鼓勵金融機構分享實務案例,供金融同業交流研討最佳實務,並透過定期調查各金融機構之導入規劃及進程,適時納入資安規範,提升整體資安防禦水準。