【富邦金控】CSIRT架構下的資安策略執行
因國外資安意識發展成熟,過去講到資安相關議題,大多都以外國企業舉例較多,但今日將視線轉回國內,看看臺灣大型金控──富邦金控,是如何執行企業內部的資安策略。
曾任內政部警政署資訊室主任,現為富邦金控資安長的蘇清偉,於日前舉辦的臺灣資安大會上曾說「資安的應變要有速度,才不會白白挨打。」,而這正是其對於資安應變的態度。
富邦金控建立金控層級的電腦資安事件應變小組(Computer Security Incident Response Team,CSIRT),旗下銀行、人壽、產險、證券、行銷、投信等子公司的資安主管皆是該小組的成員。而這做法正是為了能迅速調度企業內部的資源,以最快的速度因應資安事件。
在執行上,富邦金控會定期每兩個禮拜召開例會,討論與資安相關的工作議題、報告資安事件的調查與處理結果,以及重大弱點追蹤與威脅情資分析與因應。
另外,CSIRT也會審視各項資安防護系統報告,且檢討資安事件及紀錄分析結果,強化及改善防護機制有效性,並利用企業即時通訊軟體,組成應變小組通報及討論群組。
以層級而言,當發生資安事件,子公司需向上通知金控,由金控資安長擔任總指揮官,而發生事件的公司則是依照相關辦法及程序通報相關單位。其餘子公司則分別檢視是否有類似情形,進行分析及因應後,管理更下層級的子公司及海外營業據點。
而根據情資的不同,CSIRT將其分為四大類別,並分據類別採取不同的情資分析及因應措施:
一、入侵威脅指標(IoCs):分析過去是否有遭受類似探測或攻擊,像是可疑郵件、病毒,或惡意程式活動等。因應辦法則是檢視及強化資安設備偵測、攔阻防護機制,例如更新病毒碼或攔阻模式(pattern),擴充黑名單、強化設定等。
二、弱點漏洞:評估自身系統及設備是否受到弱點影響,並安排安全性更新時程、緩解措施、驗證更新及防禦有效性。
三、攻擊手法:分析研究攻擊手法相關的技術與流程,並檢視現有防禦機制是否足夠。因應措施則是強化與導入安全防護機制,辦理相關應變及復原演練。
四、外洩資訊:先研判資料正確性,以及可能外洩的管道。在因應措施上,則會通知如顧客、員工等資料擁有者,加強宣導與教育訓練,甚至也要預防如撞庫攻擊、商業變臉詐騙等。
富邦金控也建置了偵測與應變相關資安分析防禦系統,包括透過資訊安全事件管理平臺(SIEM)、APT偵測及防護(EDR)系統,及運用AI技術自動產生事件調查報告。
原文出處:iThome