close

專傢傳真-從第一銀行遭駭 談金融業如何強化資安

第一銀行遭駭的ATM為多年前的舊機種,資安風險較大,給予歹徒可趁之機。圖/本報資料照片 今年七月,第一銀行ATM遭俄羅斯犯罪集團盜領新臺幣八千多萬元,無獨有偶,八月稍早,泰國政府儲蓄銀行(Government Savings Bank)的ATM亦遭類似手法入侵及盜領,損失約新臺幣一千多萬元。今年以來,亞洲區域金融機構遭駭的情形層出不窮,今年二月,孟加拉央行海外帳戶遭駭客盜走8100萬美元,甚至向來重視資訊安全的日本,也在今年五月發生14億日圓在三個小時內,從17個城鎮的一千四百多臺便利商店ATM被盜領的事件。可見金融犯罪已進化到瞭網路連線與電子紀錄等科技工具,而駭客犯罪集團的目標,也從針對個人的詐騙或勒索,轉移到有連網及流通大量金錢的銀行等金融機構。

每日處理大量金流的金融業,理應具備更高的資訊安全意識與防備等級,金管會頒佈的「內部控制及稽核制度實施辦法」明文要求金控公司及銀行業就業務及交易建立資訊安全防護機制及緊急應變計畫,而銀行公會制定的「金融機構辦理電腦系統資訊安全評估辦法」更具體地規定資訊安全的評估標準,包括資安評估範圍及週期、評估執行項目與評估單位資格,以及定期演練社交工程入侵的必要性等。然而,上述「資安評估辦法」對於銀行資訊架構、網路活動、網路安全檢測、弱點掃描、合規確認等,雖均有詳盡規定,遭駭的第一銀行更早已取得ISO 27001資安認證,亦完成ISO/IEC 20000:2005資訊服務管理標準驗證,卻仍然無法防免駭客入侵及盜領,金融業者究竟應如何提升安全防備以免受害?

透過對此次第一銀行遭駭事件的分析,我們可以歸納出資安防備的一些建議:首先,本次遭駭的ATM皆為十年前的機種,所使用的Windows XP作業系統微軟官方已於2014年停止支援,且不會再提供任何安全更新,但駭客卻不會停止對安全漏洞的研究,造成銀行使用官方停止支援的作業系統越久,系統與交易服務越是曝露在資安風險中。

其次,ATM雖是駭客的最終目標,在控制ATM之前,駭客集團通常使用低調的手法,從極小規模的入侵開始,在不被探測發覺的情況下,緩慢地擴張控制範圍,直到取得ATM的控制,這樣的手法業界稱為APT(進階持續性威脅)。最初可能隻是某行員遭到釣魚信件騙得帳號或植入惡意軟體,在取得該員的電腦控制權後,駭客會緩慢地探查該電腦所能連接的企業內部網路,尋找安全防護較弱的伺服器,並逐一攻克,直到接近駭客的最終目標。由於這些駭客的低調行動,都是在企業內網發生,資訊活動看起來與銀行的日常作業並無太大差別,所以不容易察覺。

ISO 27001等資安認證,雖然涵蓋許多資訊作業程序的安全管理,但是那隻能做為資訊安全的底線(Baseline),不能當作資訊安全的保障(Assurance)。譬如要防範釣魚信件的欺騙,銀行員工的資安意識有賴於持續且有效的資安教育訓練來建立與提升。而對於企業內部網路的監控與強化,則需要系統安全與網路安全的專業人員來建構維護,這些都不是取得資安認證就可以達到的效果。

強化銀行資安的第一要務是「資訊資產管理」,應清查重要的資訊資產,如果有任何不安全的軟硬體或過時的系統,必須安排期程做更新或強化。如有必要使用不安全的系統,則必須列入風險評估,且準備IR(資安事件對應)計畫,以防萬一。

其次,不可因為是企業內部網路就掉以輕心,需時時遵守「最小權限原則」(minimum required privilege)。譬如這次第一銀行倫敦分行遭駭的錄音系統伺服器,因為無業務上需求,就不應該擁有連結本行ATM軟體派送伺服器的權限,這給駭客提供瞭攻擊成功的缺口。

最重要的,金融機構必須有專業的資訊安全團隊。IBM的報告指出,擁有專職資安團隊的企業,在遭受資安攻擊時可大幅減少可能損失。擁有專業的資安人才,能夠檢視評估企業系統安全,選擇導入所需的資安防備系統或機制。擁有專職CERT(Computer Emergency Response Team)團隊,更是能在遭受攻擊時,第一時間做出最恰當的處置,讓傷害減到最小。

(工商時行車紀錄器四鏡頭報)

關鍵行車紀錄器多鏡頭字:一銀盜領案


中時電子報對留言系統使用者發佈的文字、圖片或檔案保有片面修改或移除的權利。當使用者使用本網站留言服務時,表示已詳細閱讀並完全瞭解,且同意配合下述規定:

請勿重覆刊登一樣的文章,或大意內容相同、類似的文章

請不要刊登與主題無相關之內容

發言涉及攻擊、侮辱、影射或其他有違社會善良風俗、社會正義、國傢安全、政府法令之內容,本網站將會直接移除

請勿以發文、回文等方式,進行商業廣告、騷擾網友等行為,或是為特定網站、blog宣傳,一經發現,將會限制您的發言權限或者封鎖帳號

為避免留言系統變成發洩區和口水版,請勿轉貼新聞性文章、報導或相關連結

請勿提供軟體註冊碼等違反智慧財產權之資訊

禁止發表涉及他人隱私、含有個人對公眾人物之私評,且未經證實、未註明消息來源的網路八卦、不實謠言等

請確認發表或回覆的內容(圖片)未侵害到他人的著作權、商標、專利等權利;若因發表或回覆內容而產生的版權法律責任將由使用者自行承擔,不代表中時電子報的立場,請遵守相關法律規範


違反上述規定者,中時電子報有權刪除留言,或者直接封鎖帳號!請使用者在發言前,務必先閱讀留言板規則,謝謝四鏡頭行車紀錄器價格配合。

四鏡頭360度行車紀錄器推薦行車紀錄器多鏡頭推薦

台灣電動床工廠 電動床

台灣電動床工廠 電動床

AUGI SPORTS|重機車靴|重機車靴推薦|重機專用車靴|重機防摔鞋|重機防摔鞋推薦|重機防摔鞋

AUGI SPORTS|augisports|racing boots|urban boots|motorcycle boots
F68A08EABC2AD281

arrow
arrow
    文章標籤
    行車紀錄器四鏡頭 行車紀錄器多鏡頭推薦 三鏡頭行車紀錄器推薦 行車紀錄器多鏡頭 四鏡頭360度行車紀錄器推薦
    全站熱搜

    nfn731xh59 發表在 痞客邦 留言(0) 人氣()