跳到主要內容
English 訂閱電子報

台灣集中保管結算所

集保電子雙月刊
第271期
11212月出刊
選單
:::

內部稽核轉型:資安稽核解決方案之運用

內部查核室 張紫薇 總稽核及江鈺聲

一、掌握業務脈動,發展稽核轉型

集保結算所近年來持續朝數位化服務發展邁進,也因經過疫情的洗禮,企業更加重視於各種極端情境下,仍然可以持續提供市場服務,也就是所謂的「營運/企業韌性」。而在本公司發展數位化服務過程中,資安稽核也面臨著各種挑戰,內部查核室不斷思考針對數位化服務之營運不中斷,該如何設計、規劃並執行稽核。依據金管會「金融資安行動方案2.0」中要求資安監控與防護之有效性評估及參考調研機構所提出國際網路安全發展趨勢,了解全球網路攻擊仍層出不窮,尤其針對現代化戰爭,除了傳統陸海空的實體攻防,更將網路戰作為攻擊手段。例如俄烏戰爭前,網路攻擊事件頻傳,不論是網路流量癱瘓、釣魚信件發送惡意程式或是假訊息認知作戰等,都特別針對關鍵基礎設施進行攻擊。作為我國資本市場唯一後台機構,我們尤其重視如何抵禦惡意人士對本公司發動網路攻擊,而從稽核的角度來看就是如何驗證本公司資安設備及相關機制能有效的進行防禦與阻擋。

2023年10月筆者代表公司參加在荷蘭阿姆斯特丹舉行的國際內部稽核年會,會中提及資安風險管理三道防線,從資訊單位、資安單位到稽核單位都必須各司其職,稽核人員除了稽核技巧、手法之精進外,更應該強化對於資訊及資安方面之職能,才能有效展現第三道防線之價值。多年來內查室一直秉持這種精神,持續探索各種業務背後潛在之風險,並且加強同仁數位稽核及驗證工具之實務應用。

圖片

圖片

圖一、圖二:「2023國際內部稽核年會」會議資料 (資料來源:國際內部稽核協會IIA)

圖片

圖片

圖三、圖四:「2023國際內部稽核年會」會議照片 (資料來源:內部查核室)

二、紅隊演練

紅隊演練(Red Teaming)一詞最早出現在1960年代,當時是軍隊用來形容模擬的攻擊行動,之後也被應用在資安領域,指的是針對組織進行模擬入侵攻擊,也是體檢企業整體資安防護有效性最直接的方法。本室曾於107、108年連續兩年進行紅隊演練,經過這兩次的震撼教育之後,讓管理階層對資安防護有了很不一樣的看法。真槍實彈的演練有非常具體的成效,除了在網站邊防中發現漏洞,也讓資訊部門了解真正的駭客手法,此外,我們更意識到供應商管理的重要性。此後,我們更加強公司的資訊安全宣導,以提升全體同仁對資訊安全的認知意識。

今(112)年受邀參與Google年度盛會「Google Cloud Summit Taipei」,於會上分享紅隊演練的經驗:

(一)越是不起眼的系統,不可忽略其資安防護

觀察白帽駭客實際行為,發現他們嘗試透過非主要系統或周邊設備進行入侵,並企圖橫向轉移攻擊核心系統,因此對周邊設備的資安防護,應該要全面強化且持續監控。

圖片

圖片

圖五、六:「2023 Google Cloud Summit Taipei」會議照片 (資料來源:Google)

(二)供應商,是神助手還是豬隊友?

在演練過程中,白帽駭客團隊從我們的資訊系統協力廠商,發現開發環境中存有安全性漏洞,可能會外洩本公司內部網址及測試環境的帳號密碼,這提醒了我們供應商管理的重要性。近年來,我們對於供應商風險的管控,除了嚴格的資格審查外,更定期辦理供應商資安稽核,對於違反本公司資安規範的行為,不僅按合約進行相應的罰款處罰,情節嚴重者更列入不再合作的黑名單。這些措施都是為了確保供應商能夠嚴格執行資訊安全管理措施。

(三)人,資安最大的破口

演練結束後,我們意識到具有高權限的高階經理人往往是駭客攻擊的首要目標,在公司首長的大力支持下,所有高階主管及同仁,每年均須參與各種資安情境演練,以提高全體人員對資訊安全事件的應變能力。

Google Cloud Summit盛會於112年10月18日落幕,Google針對主題演講所回收的358 份有效問卷中,本次的分享獲得高達4.37 / 5.0的滿意度,並來信感謝透過與談的過程,有效啟發更多的企業與產業開始資安治理與轉型佈局、進而強化企業營運韌性,也同時傳遞本公司在數位轉型與技術採用的前瞻佈局。

圖片

圖片

圖七、八:「2023 Google Cloud Summit Taipei」會議照片 (資料來源:Google)

三、類紅隊演練

本公司除了執行紅隊演練、資安檢測、供應商風險監控平台、數位鑑識與證據保存、資安事件應變演練等專案,近年我們持續尋找先進的稽核工具及解決方案,讓資安稽核能變得有效率、多樣化且更全面。 駭客攻防演練的解決方案不斷推陳出新,傳統的紅隊演練,雖然比較擬真,但相對耗費時間與人力,也常會讓資訊單位疲於奔命,今年我們對本公司執行「類紅隊演練」,藉由自動化工具模擬外部至內部攻擊,使本公司更即時了解資安防護之薄弱點,以驗證安全防護機制的有效性,並達成金融資安行動方案2.0之「鼓勵資安監控與防護之有效性評估」,本案的執行情形和詳細內容將在專案完成後,再與公司全體同仁分享。

四、結語

隨著本公司之數位服務業務持續拓展,本室將持續關注各類新興科技,及可能伴隨之威脅弱點。稽核人員亦透過不斷學習、充實新知與精進稽核手法,有效獵捕資安風險與問題,並即時提出前瞻性的稽核建議,全面降低本公司在發展數位化服務之營運風險。

回最上方