網路蓬勃發展,金融業也不斷面臨新的挑戰。除了須提升其工作效率、保障內部資訊安全以及改進風險管理水準之外,如何建置一個穩定安全的資訊環境以保障客戶與系統資訊安全,是金融業目前所面臨的最大挑戰。
長久以來,金融業始終面臨駭客入侵及內部惡意攻擊等安全威脅,而日趨增加的攻擊事件也讓金融機構疲於奔命。
根據1988年CERT協調中心記載,當時網路系統攻擊事件年僅六起;但到了2005年卻暴增至二十萬起左右,短短七年之間多了三萬多倍,令人咋舌。
從趨勢來看,這些攻擊不僅發生頻率越來越高,其複雜性與嚴重程度亦不斷增加。另一方面,目前設計攻擊病毒的時間越來越迅速,從以往以年為單位到今日以日為單位,甚至幾個小時之內就可設計出嚴重影響資安的病毒,足見金融業要預防這些日益增加的外部攻擊益發困難。
問題不只來自外部攻擊
然而,必須防禦的不僅僅是外部攻擊,竊取及販售客戶機密資料以及使用業務資料非法獲利的惡意攻擊者,也是金融業目前亟需防禦的重點。根據Deloitte Touch的調查顯示,2004年全球排名前100的金融機構中,約35%曾遭遇過內部攻擊,而此一比率在2003年時僅有14%。
同時,Sarbanes-Oxley、HIPAA、PCI(Payment Card Industry)和ISO27001等相關法律規範,規定企業必須不斷檢視、報告其財務控管方面的弱點、資料庫漏洞以及資訊損失的情況,亦大幅提升金融業在機密資料保護工作上的難度。資訊安全問題方面的缺失將對金融業造成長遠的負面影響,無論是洩漏機密資料或是無法達成相關法規要求,都將嚴重地損害客戶對該企業的信任,導致股票價格大跌、招致集體訴訟,亦可能受到政府和行業工會的懲罰。
資安解決方案日益複雜
面對上述資訊安全問題,以往金融業大多以積極的態度採取各種安全解決方案,例如防毒軟體、防火牆以及入侵防禦系統等。而這些解決方案雖然有助於改善內部的資訊安全問題,卻也相對地引發另一個新問題—「複雜性」。金融機構必須面對來自於不同供應商所提供的安全設備和相關系統建置,彼此之間所產生的系統警訊無法相互連結,而這些異質的單點防禦形成一個更龐大且複雜的負擔。
根據統計,三年前一個企業擁有的安全設備僅有幾百台,估計每天產生的安全事件約五萬件;如今,企業擁有數以萬計的安全設備,但每天產生需要監視、記錄、分析觀察的事件則高達數十億件,複雜的程度實在令人難以想像。
然而在這些事件當中,有部份是誤報事件;安全分析人員需要對這些隨機的誤報事件進行分析與處理,這不僅加重了人員的工作負擔,還浪費大量寶貴的時間。因此,如何有效地管理和審核這些安全事件,成為目前金融業需要解決的一項艱難工作。
金融業者的期待
正因為金融安全維護較其他產業複雜許多,許多金融業者期待能有一套「單一的整合解決方案」,能大量收集、集中分析管理來自不同設備的安全事件,提供網路威脅和攻擊即時監控和快速反應,協助金融業做到全面性的風險管理。而且,版本與版本間還要具有很強的適應力、可擴展性以及可配置性,以滿足現今不斷變化的異質環境需求。
此外,金融業對於相關法規遵循性、審核和IT管理,與集中收集、監視、反應和報告安全事件資料的要求更甚其他產業,也就更為期待解決方案能將費時的相關證明法規遵循(例如Sarbanes- Oxley、ISO27001、HIPAA和PCI)的過程自動化,提升安全時效性。
這樣的期待與需求其實已經有相關的解決方案可以符合,近來十分熱門的SIEM (Security Information and Event Management)解決方案能協助金融業有效解除相關資訊安全威脅,利用其技術將即時監控的工作化繁為簡,毋須限制收集事件資訊的數量,亦不須定義各項原始資訊的重要等級,也不會因事先過多的過濾而遺漏重要的潛在威脅。
建立保護屏障
這類解決方案的作法是將安全相關資料統一彙集至一個單一的智慧系統後,安全小組便可透過該系統管理及遵循法規要求,深入瞭解資訊安全技術威脅並向董事會成員報告目前之安全狀態,同時確保在其周邊建立強大的保護屏障,使金融業可真正瞭解潛藏在環境中安全威脅的問題。
 |
| ▲資料分析工具可消除處理誤報事件所花費的時間,系統預設的關聯與分析規則,亦可作為系統維運的實用範例。 |
資料分析工具可消除處理誤報事件所花費的時間,系統預設的關聯與分析規則,亦可作為系統維運的實用範例,因此,能夠大量地減少在處理誤報事件上所花費的時間,讓金融業在資源和人力資本方面的效率皆提升許多。根據一般統計,企業使用該工具之後實際處理的安全事件數量已減少到原來的十分之一。
除了驗證安全威脅並進行事件安全分級,也可藉由其集中管理的特性,追蹤攻擊來源、分析所有相關安全事件的來龍去脈。例如當機構因安裝一台新設備,遭遇病毒攻擊,而嚴重影響內部機密資料外洩等安全問題時,也能傳播病毒的相關資料,確定該病毒的傳播模式及特徵,然後在該機構中找出受感染的蹤跡,進而立即發出相對應的告警。
透過單一平台進行全面收集、分析及安全資料管理,實現即時的危機管理,產生相關法規循規報告,另外可輔以自動化的網路回應機制,來降低資訊風險,可以解決現今日趨複雜的資訊安全問題,幫助金融業減少內部機密資料外洩、民眾信用卡遭側錄與盜刷、系統遭駭客入侵、內部財務資料外露等損失,可說對金融業提供一項最佳的資訊安全保護屏障。提升民眾對於金融機構的信用與信心,對於金融業來說更是一項相當重要的IT資訊安全投資,提供長期的商業價值。
| 關於作者 |
 |
孫克仲目前任職於Unisys擔任全球委外及技術服務部副總經理,負責Unisys台灣委外和技術服務部整體業務發展與策略擬定。孫克仲對台灣的銀行金融服務業有深入的瞭解和豐富的知識,且在該領域擁有廣泛的業務經驗。他的專長領域包含為企業委外服務,從系統設計與開發、顧問諮詢、資訊安全、網路規劃與建置應用程式、整體委外及委外所牽涉複雜的人員移轉、財務規劃等。在加入Unisys,他曾任職EDS及IBM,並IBM13年,歷任金融服務事業群業務代表及經理、諮詢顧問事業群經理、大中華區委外服務事業群業務經理等職務。 |