top of page
搜尋

【懶人包】一次看懂金融業資安解決方案,零信任、SOC/MDR全攻略

  • 作家相片: Kimi
    Kimi
  • 1月17日
  • 讀畢需時 25 分鐘
金融業資安解決方案:從防護到韌性的一套落地藍圖
金融業資安解決方案:從防護到韌性的一套落地藍圖

一、金融業為什麼需要「專用」資安方案


金融業之所以很難用「一般企業的資安做法」直接套用,關鍵在於它同時滿足三個條件:高價值(錢與資料)、高連線(外部介面多)、高連續性(不能停)。任何一個小漏洞,影響往往不是「某個系統壞掉」而已,而是可能立刻變成實際損失(盜轉、詐騙、交易失真)、聲譽崩盤(客戶不敢用)、甚至擴散成市場層級的信心衝擊。國際上針對金融市場基礎設施的網路韌性指引也明確指出,關鍵金融系統一旦遭受網攻而中斷,可能成為金融衝擊的來源或傳導通道,因此「網路韌性」會直接影響整體金融體系與更廣泛的經濟韌性。


第一個原因 :


「交易與服務不中斷」的壓力遠高於多數產業。金融服務是 24/7 的,行動銀行、網銀、ATM、刷卡、跨行轉帳、清算交割等,都要求極高可用性;而 DDoS、勒索軟體或雲端/電信事故,最直接的破壞就是讓服務停擺。這也是金管會在金融資安政策上反覆強調的方向:要確保金融系統營運不中斷,提供民眾安心交易環境。


第二個原因 :


「資料與指令的敏感性」特別高,而且一旦外洩或被竄改,後果更難收拾。金融業不只保管個資,還保管帳務、授信、投資偏好、交易紀錄,更重要的是它承載了「可直接造成資產移轉」的交易指令與權限(例如收款人新增、額度調整、批次付款、API 金鑰、特權帳號)。因此金融資安不能只談資料保密,還要同時強調交易完整性、可稽核性與不可否認性,確保「誰在什麼時間下了什麼指令」能被追溯、能被阻擋、能被還原。


第三個原因 :


「外部連線面」越來越廣,攻擊面也跟著擴張。行動銀行、API、第三方支付、外包與雲端,實務上還包含:供應鏈廠商遠端維運、行銷與客服外包、SaaS、資料交換平台、開放銀行或合作夥伴串接等。這代表防線不再只有機房與內網,而是擴展到端點設備、身分憑證、API 安全、第三方存取控管與雲端設定等「分散型邊界」。金管會在近期的資安韌性藍圖中也把「生態聯防」與「供應鏈」放在重要位置,反映金融服務高度依賴外部夥伴的現實。


第四個原因 :


「監理要求」使金融業必須把資安做成制度化、可驗證、可問責。金管會的金融資安行動方案 2.0 與 2025 年底發布的金融資安韌性發展藍圖,都把治理、監控、演練、通報、聯防、以及關鍵服務的持續與快速恢復,放進具體措施與推動軸線裡(例如行動方案 2.0 規劃多項措施、藍圖以目標治理/全域防護/生態聯防/堅實韌性為架構,目標是建立「可預測、可防禦、可復原」的金融生態系)。


也因此,所謂「專用」資安方案,通常不是多買幾套資安產品,而是把金融場景最在意的風險(交易詐欺、帳號盜用、DDoS、勒索、第三方入侵、內部權限濫用)用一套能落地、能稽核、能復原的方式整合起來:讓金融服務在被打的時候撐得住、在出事的時候救得回,並且每一步都有證據鏈可以對內管理、對外監理交代。



二、金融業資安設計原則:從「防護」走向「韌性」


傳統資安常被理解成「把門守好」,但金融業真正要做到的是:就算門被撬開、就算系統某段失守,仍能把影響範圍壓到最小、把服務撐住、把資料與帳務的完整性救回來,最後還能把這次事件轉成下一次更強的能力。這也是近年國際監理與框架越來越強調「韌性(resilience)」而不是只談「防護(protection)」的原因。


第一個核心觀念


「資安要回到治理層」。NIST CSF 2.0 把 GOVERN(治理)放進六大功能,並且明確指出:治理是用來建立、溝通與監督資安風險管理策略、期待與政策,還要把資安納入企業整體的風險管理(ERM),同時涵蓋組織情境、供應鏈資安風險管理、角色權責與策略監督等要素。換句話說,金融業不只是在買工具,而是要讓董事會與高階管理層能「看得懂風險、做得出取捨、下得了決策、追得到成效」。


第二個核心觀念


「以重要服務/關鍵作業為中心」來設計資安,而不是以單一系統或單一控管點為中心。巴塞爾銀行監理委員會(BCBS)把營運韌性定義為:銀行在發生干擾時仍能交付關鍵作業的能力;而這個能力包含識別與保護、回應與調適、復原與學習,並且要假設中斷一定會發生,進而設定自身可容忍的中斷程度。英國央行/PRA 的監理聲明也用「impact tolerance(衝擊容忍度)」來要求機構針對重要業務服務設定「最多能容忍中斷到什麼程度」(常以時間等指標衡量),並用情境測試去驗證是否撐得住。這種思路會直接改變資安方案的重點:你會先釐清哪些服務一斷就會造成客戶重大損害或系統性風險,接著把人、流程、系統、供應商與資料依賴都畫出來,再決定要在哪些地方「加固、隔離、備援、快速切換」。


第三個核心觀念


「把資安的生命週期補齊」。NIST CSF 2.0 的六大功能(GOVERN/IDENTIFY/PROTECT/DETECT/RESPOND/RECOVER)提供一個很實用的檢查方式:你不只要做身分控管、網段隔離、加密與端點防護(Protect),還要能持續找出資產與風險、盤點供應鏈與依賴、找出改善機會(Identify),更要把偵測、應變與復原當成常態能力隨時待命。NIST 也特別強調 GOVERN 在中心,因為治理會決定你怎麼排序投資、怎麼定義「足夠安全」、怎麼衡量與持續改進。


第四個核心觀念


「金融市場基礎設施(清算、支付、結算等)要用更嚴格的韌性目標」。CPMI-IOSCO 的指引把 FMI 的 cyber resilience 定義為「能預先準備(anticipate)、承受(withstand)、控制/遏止(contain)並快速復原(rapidly recover)」;並把整體要求整理成五大風險管理類別(治理、識別、防護、偵測、應變與復原)與三個橫向元件(測試、態勢感知、學習與演進)。更具體的是,它提出「兩小時內安全恢復關鍵作業(2hRTO)」以及「中斷當日仍要能完成日終結算」的目標,並要求 FMI 設計與測試系統流程來達成,這其實就是把「恢復能力」提升到和「防護能力」同等甚至更高的戰略地位。


第五個核心觀念


「測試不是稽核用的附錄,而是設計的一部分」。在韌性導向下,演練的意義不是證明你有 SOP,而是要在壓力情境下證明:偵測訊號進來時能不能快速判斷、隔離與降載?關鍵帳務資料的完整性怎麼驗證?替代流程能不能在目標時間內把服務撐回來?CPMI-IOSCO 把 testing 列為橫向元件;英國 PRA 也要求以情境測試逐步變得更成熟;FSB 另外提供了網路事件應變與復原的實務工具包,把治理、事前準備、分析、緩解、復原、協調溝通與持續改進拆得更細,便於金融機構把「救得回來」做成可重複、可衡量、可進化的能力。



三、金融業資安解決方案藍圖:一套能落地的能力地圖


(1)資安治理與合規:把責任、流程、預算放到位


金融業做資安治理,第一件事不是先買工具,而是先把「誰負責、誰拍板、誰出資源、出了事誰要說明」定清楚。金管會在近年的金融資安政策中,已明確把「高層責任、決策鏈與問責鏈」拉到核心位置,並強調建立「責任、權限、資源」三位一體的治理架構,提升董事會監督能量、強化資安長職責與權責、確保決策獨立與韌性。


一、治理架構:把決策鏈、問責鏈畫出來實務上建議至少落地三個層級:


  1. 董事會與(或)風險/稽核委員會:訂定資安風險偏好與容忍度(risk appetite/tolerance),要求定期彙報重大風險、重大事件與改善計畫,並把資安納入經營決策考量。金管會也推動金融機構定期向董事會提報資安辦理情形,並透過董監事資安課程等方式提升決策能量。

  2. 經營管理層:把資安目標「翻譯」成可執行的年度計畫與預算,設定跨部門KPI/KRI(例如:高風險弱點修補時效、重大事件應變時效、第三方高風險項改善關閉率),並要求各事業單位對自己流程的風險負責。

  3. 資安長(CISO)與資安專責單位:負責統籌政策推動、資源調度、重大風險與事件升級(escalation),並建立可稽核的制度與證據。金管會在金融資安行動方案2.0也提到推動增設高階資安長,直接向董事會報告,以利統籌協調與資源調度。


二、三道防線:把「誰做事、誰監督、誰查核」拆開


資安治理要長期有效,通常會用「三道防線」把責任切乾淨:第一道是業務與IT/營運單位(風險的擁有者),第二道是風險管理/法遵/資安治理(制定政策、監督與挑戰),第三道是內部稽核(獨立確信)。這套分工在 IIA 的 Three Lines Model 裡也強調「管理階層負責管理風險,內稽提供獨立客觀的確信與建議」。


把它套到金融資安的語言,可以更具體:第一道防線:系統/流程的Owner(核心系統、支付、網銀、客服、分行、資訊維運、開發團隊)要對「自己的風險」負責,例如權限最小化、變更管控、資料處理合規、營運持續演練到位。第二道防線:資安治理與風險法遵要把制度(政策、標準、例外管理、風險評估方法)訂清楚,並用監控與稽核點去驗證第一道做到了沒有。


第三道防線:內稽要用獨立角度檢視治理是否有效(含重大外包、雲端、關鍵供應鏈),並追蹤缺失改善。


三、制度與流程:用 ISMS 把「管理」做成可持續的系統


ISMS(ISO/IEC 27001)的價值,是把資安從「一次性專案」變成「持續運作的管理系統」:明確範圍與脈絡、做風險評估與處置、配置控制、要求持續維護與持續改善。


落地時,金融業常會把制度拆成三層文件與證據鏈:A. 政策(Policy):例如資訊安全政策、資料分類分級政策、存取控制政策、加密政策、委外與第三方管理政策、事故通報與應變政策。B. 標準/基準(Standard/Baseline):例如伺服器與端點組態基準、帳號權限基準、弱點修補SLA、日誌留存與SIEM收斂規格。C. 程序與紀錄(Procedure/Record):例如風險評估報告、例外核准單、教育訓練紀錄、稽核報告、演練紀錄、缺失改善追蹤。


這樣做的好處是:董事會要看的不是技術細節,而是「是否有制度、制度是否被遵循、偏差是否被矯正」。


四、預算與資源:讓資安不是“有責無權”


治理要能動,資安長必須拿得到資源與授權。金管會在韌性藍圖中特別用「責任、權限、資源」三位一體來描述治理完整性,目的是避免資安單位變成只背鍋卻推不動改變。


因此預算規劃建議採「風險導向+關鍵服務優先」:把預算先保住核心交易、身分與權限、監控與應變、備份與復原、以及供應鏈管理。另可把重大風險改善計畫做成跨部門專案,由管理層督導時程與資源。


五、監理與合規對齊:把要求做成一張「映射表」


金融業常見至少要同時滿足四種“合規語言”,建議做一張 control mapping,把控制項與證據一次對齊,避免各做各的:


  1. 監理要求與自律規範:金管會的金融資安行動方案2.0以「深化資安治理、精實資安韌性、聯防」等構面推動,並提到把資安風險因子與監理工具連結、定期檢視有效性,這會直接影響管理層對資安的優先序。

  2. ISO/IEC 27001(ISMS):偏“管理系統”,用來證明你有制度、有風險方法、有持續改善。

  3. PCI DSS:只要環境涉及「儲存、處理、傳輸」支付帳戶資料(卡號等),PCI DSS 就是最低技術與作業基準,目標是建立一致的資料安全措施來保護支付資料。實務上也常用網段隔離與系統分區來縮小稽核範圍(scope)。

  4. SWIFT CSP / CSCF:只要是 SWIFT 使用者,就要依 Customer Security Controls Framework 落實控制(分為 mandatory 與 advisory),而且框架會隨威脅演進而調整;它的定位是給整個社群一個最低安全基線,要求對本地 SWIFT 基礎設施落實必要控制。


六、稽核、演練與可證明性:把「做了」變成「拿得出證據」


金融業的治理最後會落在「可稽核、可演練、可追蹤」。金管會在行動方案2.0也強調透過 DDoS 攻防、實兵演練、競賽與重大事件情境演練來提升應變能力,並推動跨組織的應變體系(如 F-CERT)與支援機制。



(2)零信任與身分安全:把「誰能做什麼」管到極細


金融業最常見的破口,往往不是「網路邊界被打穿」,而是帳號被釣走、權限被濫用、或憑證(金鑰/Token)外洩後一路橫向移動。零信任的核心精神就是「永不信任、持續驗證」,把防護重心從「你在哪個網段」改成「你是誰、你的裝置是什麼狀態、你現在要做什麼、風險高不高」。金管會在「金融業導入零信任架構參考指引」也明確採用這個方向,並提到主要參考包含 NIST SP 800-207,且建議導入時以身分鑑別優先。


金管會也特別強調採「風險導向」,先從高風險場域切入:遠距辦公與雲端存取、具特權或高權限的維運管理(重要主機/資料庫、帳號管理員、可接觸大量機敏資料者)、以及供應鏈/委外廠商或跨機構協作的存取管理。並且建議先盤點「完整存取路徑」(身分、設備、網路、應用程式、資料),分階段縮小攻擊面、加深縱深防禦;第一階段的例子就包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權、機敏資料加密與外洩防護等。


要把「零信任+身分」做完整,建議你把能力拆成幾塊來建:


第一塊是身分作為策略核心(Identity-first)。做法是建立統一的 IAM/IdP(身分提供者)作為「單一真相來源」,把員工、外包、系統帳號、服務帳號(機器身分)都納管起來,並讓所有關鍵系統走同一套登入、同一套授權與稽核。NIST 對零信任的描述也強調防護焦點應從靜態的網路邊界移到使用者、資產與資源本身,並用策略來控制存取。


第二塊是更強的驗證(MFA/無密碼/風險式驗證)。金融場景很常見的是「帳密外洩後被撞庫」或「釣魚拿到一次性碼」。因此除了 MFA,還要把驗證升級成「抗釣魚」的方式(例如硬體金鑰、通行金鑰 Passkeys、憑證式裝置登入等),再搭配風險式驗證:同一個人、同一個帳號,若在異常地點/異常裝置/異常時間/異常行為要做敏感操作,就提高驗證強度或直接阻擋。NIST 的數位身分指引也把 MFA(例如 AAL2)視為涉及個資線上存取時的最低強度基準之一。


第三塊是更細的授權(最小權限、動態授權、分層分域)。很多組織做了 MFA 但還是出事,原因是「登入過關後就幾乎無限制」。零信任要把授權拆細:以角色/職務(RBAC)為底,逐步加上屬性/情境(ABAC/Policy-based Access),把「能看什麼資料、能下什麼指令、能不能匯出、能不能批次查詢」都用政策表達出來,而且政策要能依風險動態調整(例如風險高就只允許讀、禁止匯出;或強制走跳板機+全程錄影)。CISA 的零信任成熟度模型也強調必須對使用者、裝置、應用與交易進行持續驗證,而不是一次登入就永久信任。


第四塊是特權存取管理(PAM)要做到「可控、可追、可停」。金融業最該優先零信任化的,通常就是高權限維運鏈路。建議把做法做到幾個層次:高權限帳號與一般帳號分離;高權限採 Just-in-Time(需要時才給、用完回收)與 Just-Enough-Access(只給完成工單所需最小權限);所有特權操作強制走工單/核准流程;特權連線走跳板或特權會話管理(全程錄影、指令留存、可即時中止)。這類控制能直接把「帳號被偷=整個網域淪陷」的風險打下來,且也符合金管會強調的高風險場域優先原則。


第五塊是裝置信任與端點健康(Device posture)。零信任不是只有「驗人」,也要「驗裝置」。遠距/行動/多裝置環境下,建議把裝置識別與健康檢查納入存取決策:裝置是否受管(MDM/EMM)、是否加密、是否符合修補基準、是否有 EDR、是否疑似感染。金管會的分階段建議中也把「設備識別」視為重要措施之一。


第六塊是 API 與機器身分(Machine identity / API security)。金融業 API 多、系統間呼叫頻繁,「服務帳號/金鑰/憑證」常常比人更容易被忽略。一套完整的做法會包含:服務帳號最小權限、金鑰集中保管與定期輪替、短效 Token、mTLS 或憑證式互信、OAuth2/OIDC 的授權與範圍(scope)控管、以及把 API 呼叫也納入可觀測與稽核(誰在何時用哪個 Token 調了哪些資料)。這樣才能把攻擊者拿到一把金鑰後「長期潛伏與大量搬資料」的風險壓下來。



(3)資料安全:用「分類、加密、外洩防護」守住最貴的資產


金融業的「資料」本身就是攻擊者的最終目標,所以資料安全不能只靠邊界防護,而要把「資料在哪裡、誰在用、怎麼用、用完怎麼處理」管到底。金管會零信任架構的資料面向,也明確把「機敏性資料加密儲存、資料外洩防護、資料存取活動即時偵測及回應」列為重要實作要點。


第一步是資料盤點與分類分級,先把範圍「畫出來」。建議以資料生命週期來做盤點:蒐集(例如 eKYC、開戶資料)、處理(核心帳務、交易風控)、儲存(資料庫、檔案、物件儲存、備份)、傳輸(API、批次檔交換、跨機構連線)、使用(報表、分析、模型訓練)、共享(委外、合作夥伴)、與銷毀。分類分級可用常見四級法(公開/內部/機密/極機密),再把金融業常見類型(個資、帳務、交易、授信、KYC/AML、模型特徵與權重、稽核日誌)對應到保護強度。NIST 800-122 也強調要先識別 PII,並依情境決定合適的保護等級與防護措施。


第二步是資料最小化與留存管理,減少「可被偷走的量」。很多資料外洩的本質其實是「留太久、留太多、散落太廣」。做法包含:只保留業務必要欄位、訂定留存年限與自動清除、敏感資料在非必要環境(測試、開發、分析沙箱)一律做去識別或替代、備份也要套用同樣的留存與刪除規則。以支付資料為例,PCI DSS v4.0.1 在 Requirement 3 也把「儲存量最小化」列為重點之一,思路同樣適用到金融核心資料與個資。


第三步是加密策略要分層設計,別只做「磁碟全碟加密」就當完成。實務上至少要涵蓋三個面:傳輸中加密(TLS/mTLS,含內部服務對服務、API、批次傳檔通道)、靜態加密(資料庫 TDE、欄位/應用層加密、檔案/物件儲存加密、備份加密)、以及「顯示與使用時」的保護(遮罩、截斷、代碼化)。尤其在金融業,常見情境是客服、稽核、報表、分析會接觸大量敏感欄位,「看得到」本身就構成風險,所以顯示層的遮罩/最小揭露要跟權限一起做,而不是交給人工自律。PCI DSS 也要求像 PAN 這類敏感資料在顯示時應遮罩,並可用加密、截斷或代碼化等方式讓儲存資料不可讀。


第四步是金鑰管理要當成一個「系統」來做,而不是一串密碼。加密做得再強,金鑰管理鬆散就等於白做。NIST SP 800-57 反覆強調金鑰生命週期管理(產生、儲存、分發、使用、輪替、封存、銷毀)的重要性,且指出不良的金鑰管理足以讓強演算法失效。 落地上通常會包含:集中式 KMS/HSM(或雲端 KMS + BYOK)、權限分離與雙人控管(尤其是主金鑰/Key-encrypting key)、金鑰輪替與到期策略(cryptoperiod)、金鑰備援與可用性設計、金鑰使用審計(誰在什麼服務、什麼時間、對什麼資料解密)、以及把「解密能力」與一般系統帳號/OS 權限切開(避免維運人員拿到資料解密權)。PCI DSS v4.0 的文件也特別提到要保護用來保護帳戶資料的金鑰(包含資料加密金鑰與金鑰加密金鑰),避免被揭露或濫用。


第五步是外洩防護與可視性,重點在「阻斷不該出去的資料」與「快速發現異常」。建議把 DLP 的策略跟分類分級綁在一起:極機密資料禁止外寄或上傳未核准雲端;機密資料外傳要加密、要走核准流程、要可稽核;內部資料可用但要水印與追蹤。再依通道部署控制點:端點(USB/列印/截圖/剪貼簿)、郵件(外寄、轉寄、自動轉信規則)、網路(上傳雲端硬碟、Web 表單)、雲端(SaaS/物件儲存分享權限、公開連結)。同時把資料存取日誌與異常行為偵測串到 SOC/SIEM(例如大量查詢、批次匯出、非上班時間高頻讀取、異常地點下載),才能符合零信任「資料存取活動即時偵測及回應」的方向。



(4)偵測與應變:SOC/MDR + 情資 + 劇本化處置


金融業在這一塊的核心目標,其實只有一句話:盡快發現、盡快止血、盡快復原,把攻擊者「在你環境裡停留的時間」壓到最短。金管會也明確把「建置資安監控機制(SOC)、研析攻擊手法並制定監控/組態基準、擴大涵蓋範圍(包含雲端)、定期檢驗監控與防禦有效性」列為推動重點。


1)先把資料面做厚:沒有好日誌,就沒有好偵測


SOC 的第一步不是買平台,而是把關鍵遙測(telemetry)收齊、收準、收得可用。國際共同發布的事件紀錄與威脅偵測最佳實務就強調「集中化蒐集與關聯分析、日誌品質與留存、以及針對相關威脅的偵測策略」,並把雲端、企業網路、行動裝置等場域都納入考量。 實務上,金融業通常至少要把以下幾類訊號納入「必收清單」:身分與存取(AD/SSO/MFA、特權帳號、雲端身分)、端點與伺服器(EDR 遙測、程序/腳本/持久化跡象)、網路(DNS、Proxy、Firewall、VPN、NDR)、郵件(釣魚與惡意附件)、核心應用(網銀/行動銀行、API Gateway、WAF、交易與後台管理行為)、資料層(大量匯出、異常查詢)、以及雲端控制平面(API 呼叫、管理行為、登入與權限變更)。上述最佳實務也特別點到雲端要記錄控制平面操作與 API 呼叫、終端使用者登入等。


2)SIEM 當「中樞」,把分散訊號變成可行動的告警


SIEM 的定位是把各系統安全資料集中,做關聯、呈現成可行動資訊。NIST 對 SIEM 的定義就是:能蒐集系統元件的安全資料,並透過單一介面提供可採取行動的資訊。 在金融業常見做法是:SIEM 負責「集中、關聯、分級與稽核留痕」,XDR/EDR/NDR/CSPM/CWPP 等工具提供更深入的端點/網路/雲端偵測能力,最後由 SOC 把告警變成事件、把事件變成處置。


3)用 ATT&CK 做「偵測工程」:告警要對齊攻擊手法,不要只對齊產品功能


偵測不是堆規則,而是持續做「用例工程(use case engineering)」:針對金融業常見威脅(帳號接管、勒索、內部人員濫用、供應鏈、雲端誤設)定義攻擊路徑,再把需要的資料源、偵測邏輯、誤報調校、以及處置方式串成閉環。MITRE ATT&CK 提供的是一套基於真實觀測的「對手戰術與技術」知識庫,能當作共同語言,把偵測、獵捕、紅隊/紫隊演練對齊同一套 TTP 視角。 金管會零信任推進內容裡,也直接提到可把事件日誌集中收容到 SIEM 並與 SOC 整合,針對 IOC 或攻擊行為樣態(含 MITRE ATT&CK TTP)做即時判斷與回應,並以事件單/ SOAR Playbook 落地處置。


4)SOC/MDR 的分工:24/7 的「看、判、做」,而不只是看板


SOC(自建或委外)要有清楚的作業節奏:分級分流(Tier 1/2/3 或 L1/L2/L3)、事件分級(依資產重要性與影響度)、升級與通報機制(到 IT、風險、法遵、營運、甚至對外窗口)。MDR 則常見用來補足人力與專長(例如 24/7 值守、端點隔離與追查、威脅獵捕、惡意程式分析),但金融業通常仍需要保留「決策權與風險承擔」在內部,確保關鍵系統的處置不會因為外部流程而延誤。


5)威脅情資要「可用」:IOC 只是起點,TTP 才能提高命中率


情資導入的重點不是收越多越好,而是要能:(a)快速套用在 SIEM/XDR 的偵測與阻擋(例如惡意網域、IP、檔案雜湊)(b)把 IOC 升級成「行為偵測」(對齊 ATT&CK 的技術與鏈路)(c)做到回溯搜查(retro-hunt)與曝險盤點(哪些資產曾連到、哪些帳號曾被嘗試)金融業也常會結合產業聯防情資與內部事件經驗,把高價值的 TTP 長期維護成「金融專屬偵測包」。


6)SOAR 的價值:把「高頻、標準化、可控風險」的事情自動化


SOAR 指的是用一組服務與工具,把預防與回應流程自動化,透過整合與 playbook 讓事件處置更一致、更快。 金融業最常自動化的會是「低風險但高頻」動作,像是:釣魚信隔離與回收、惡意網域封鎖、端點隔離、可疑帳號停權/強制重設、撤銷雲端 Token、下發防火牆臨時規則、建立事件單與通知相關單位。你要的不是全自動,而是「半自動(人審核)+可追溯(留痕)+可回復(可撤回)」。


7)事件應變流程要能跑完:從發現到復原,再到復盤改善


NIST 的事件應變指引把重點放在 Detect/Respond/Recover:要能發現、管理、優先排序、隔離與清除、復原,並處理通報、通知與對外溝通。 套到金融實務,建議你至少把每一類重大事件都預先定義好「決策點」:什麼情況要停權、什麼情況要隔離、什麼情況要切換備援、什麼情況要啟動公關與法遵通報;同時把證據保全(log、記憶體、磁碟、雲端審計紀錄)納入流程,避免事後追不回攻擊鏈。


8)有效性驗證:用演練與檢驗,讓 SOC 不只是在「看告警」


監理方向已明確提到要定期檢驗資安監控與防禦部署有效性,並擴增監控/組態基準涵蓋範圍(含雲端)。 落地做法通常是:針對關鍵用例做紫隊演練、用攻擊模擬/紅隊驗證偵測覆蓋、定期檢查日誌是否缺漏(尤其是身分與雲端控制平面)、把誤報率與漏報案例納入偵測規則的持續改善。



(5)營運韌性與復原:把勒索與中斷當成「必考題」


面對勒索軟體、供應鏈感染、雲端或機房中斷時,金融業真正要守住的不是「單一系統不被打到」,而是「重要服務不中斷、或在可接受的時間內安全恢復」。因此韌性設計會先把目標講清楚:哪些是重要業務服務(例如:登入驗證、交易下單、支付清算、客服通路),每一項最多能容忍中斷多久(impact tolerance),以及對應的 RTO/RPO、手動替代流程與對外溝通方式。英國監理在營運韌性規範中,就要求機構辨識重要業務服務、設定可容忍的最大中斷程度,並透過測試找出脆弱點與補強。 如果談到金融市場基礎設施(清算、支付等),CPMI-IOSCO 對「極端網路情境下的安全且及時恢復」提出更嚴格的期待,包含以「兩小時」為等級的恢復時間目標(2h RTO)來驅動回復能力與演練。


把目標訂好後,落地通常會分成「備份與重建能力」+「切換與復原流程」+「演練與驗證」三塊一起做,避免只買工具卻還原不起來。


第一塊是備份與重建能力,重點是讓勒索也破壞不了你的復原手段。CISA 的 StopRansomware 指南明確建議保留離線、加密的關鍵資料備份,並且要定期在災難復原情境下測試備份的可用性與完整性(很多組織備份有做、但還原一演練就翻車)。 實務上會進一步做到:備份分層(熱備/冷備/長期留存)、不可變更備份(immutable/WORM,避免被刪改)、備份系統與正式網域分隔(不同信任域或離線隔離庫)、備份帳號與金鑰獨立管理,以及保留「乾淨系統映像」(gold image)與基礎組態,確保在需要重建時能快速起乾淨環境,而不是把感染的系統原封不動還原回去。這些做法的核心邏輯一致:攻擊者常會優先打掉備份與管理面,韌性設計必須把「備份也會被攻擊」當成前提。


第二塊是切換與復原流程,重點是「安全恢復」而不是「趕快上線」。金融業常見做法會把核心系統做分區分層、關鍵鏈路做備援(雙活或異地容災),同時把復原 runbook 寫到可以照做:先隔離、再鑑識與判斷範圍、先恢復身分與基礎設施(AD/IdP、DNS、憑證、網管與監控)、再依優先序恢復交易與對客通路,最後逐步開放流量並強化監控,避免「剛復原就二次中毒」。國際上金融監理與標準制定單位也普遍強調,金融機構必須能在事件中「有效回應並安全快速復原」,並把這件事做成制度化能力,而不是臨時救火。


第三塊是演練與驗證,這也是最容易被低估、但最能拉開差距的地方。除了桌上演練(tabletop),更重要的是實戰型測試:定期做還原演練(含抽查備份可還原性)、做「嚴重但合理」情境測試(例如:核心身分系統不可用、備份庫遭破壞、供應商遠端維運被入侵),並且把每次演練的落差回寫到改進清單與年度投資。這也呼應監理對「測試找出脆弱點並補強」的要求。



(6)第三方與供應鏈風險:把外包、SaaS、雲端當作同一個邊界


金融業的外部依賴通常比自己想像得更深:核心系統維運、外包開發、機房與雲端託管、SaaS(客服、CRM、行銷、自動化流程、文件協作)、金流或身分相關 API、甚至是資安代管本身。攻擊者很常用「供應鏈」當跳板:先拿到供應商帳號、遠端維運通道、或軟體更新管道,再回頭打進金融機構內部。NIST 的供應鏈資安風險管理(C-SCRM)也把重點放在「跨整條供應鏈辨識、評估、降低風險」,而不是只看單一廠商或單次採購。


所以「把外包、SaaS、雲端當同一個邊界」的意思是:不要把第三方當成內網可信任的一部分;一律視為外部邊界,採零信任原則做細粒度驗證、授權與持續監控。金管會的「金融業導入零信任架構參考指引」也明確把「服務供應商(如委外廠商遠端維運)」與「跨機構協作」列為高風險場域,建議優先導入強化存取控管。


更完整的作法可以用「全生命週期」來落地,從選商到退場都管起來:


第一,先做供應商盤點與風險分級,避免「不知道誰連得進來」。把所有第三方(含子承包、SaaS、雲端、維運廠商、系統整合商、開發商、支付/身分/API 合作方)建立清冊,並按影響度分級:是否接觸大量個資/交易資料、是否能動到核心系統、是否有遠端維運、是否涉及金鑰/憑證、是否屬關鍵或重要功能。EBA 的外包指引也要求機構建立外包登錄與風險評估,並特別關注「關鍵/重要功能」外包對監理與營運的影響。


第二,上線前盡職調查要能「驗證」而不只是「問卷」。除了資安問卷,更務實的是要求可驗證證據:ISO 27001/27017、SOC 2 Type II、滲透測試摘要、弱點修補與掃描政策、員工背景查核與權限管理、SDLC/變更管理、加密與金鑰管理、以及過往重大資安事件揭露與改善。對雲端/SaaS 要特別確認責任分界(shared responsibility)與資料流向:資料存放地、備援區域、子處理者(sub-processor)名單與變更通知機制。


第三,把關鍵要求「寫進合約」並可執行。很多機構出事不是缺要求,而是合約沒有落地條款。至少要涵蓋:


  1. 稽核與查核權(含取得第三方的資安報告、測試證據、必要時的現場查核),以及監理機關需要時的資料/查核配合;EBA 指引強調要確保主管機關能有效監理外包的關鍵或重要功能。

  2. 事件通報 SLA(例如發現資安事件後的「最遲通報時限」、提供哪些初步資訊、後續調查與鑑識配合、通報窗口與 24/7 機制)。

  3. 資料保護條款(資料所有權、用途限制、跨境/轉委外限制、刪除與可驗證銷毀、備份副本處置)。

  4. 服務韌性(BCP/DR、RTO/RPO、定期演練與報告提供)。聯準會針對社區銀行的第三方風險管理指引就明確提到,管理階層會希望合約內具備足夠的「稽核權」去取得服務供應商的 BCP/DR 測試報告,以利持續監控。

  5. 子承包/供應鏈延伸控管(flow-down):供應商再外包時必須事前告知/同意,且同等資安要求要向下延伸。NIST C-SCRM 的思維就是要把風險看到「供應鏈的下一層」。


第四,用零信任把「第三方連線」收斂到可控範圍,尤其是遠端維運。實務上建議做到:


  1. 統一入口:所有第三方遠端維運只能走受控跳板(bastion/jump server)或 ZTNA,不允許直連內網。

  2. 強身分:強制 MFA、裝置鑑別、必要時憑證式登入;支援 SSO 的 SaaS 也盡量用企業 IdP 統一控管與停權。

  3. 最小權限 + Just-in-Time:只在需要的時間、給需要的系統、開需要的權限,到點自動收回;高風險操作要工單核准。

  4. 全程可觀測:連線錄影/指令紀錄、關鍵系統操作記錄、告警串接 SIEM;異常行為(例如大量匯出、離峰操作、權限提升)要能即時告警。金管會指引把「委外廠商遠端維運」明確列為高風險場域,本質上就是要優先把上述控制做起來。


第五,上線後要做「持續監控」,而不是一年一次的例行稽核。除了定期要求第三方交付資安報告與修補證明,也要在技術面持續看得到:第三方帳號是否異常登入、API 金鑰是否被濫用、SaaS 是否有不當分享權限、雲端組態是否偏離基線(CSPM)、以及供應商曝露面(外網資產、憑證、漏掃 CVE)是否惡化。FFIEC 也把第三方管理定位為「風險導向、與風險水準相稱的監督與控制」,並強調對關鍵外包要確保營運韌性。


第六,管理「集中度風險」與「退場路徑」。金融業很容易在雲端、核心套裝或單一維運商形成高度集中,一旦供應商故障、遭攻擊或合約糾紛,衝擊會放大。建議預先規劃:資料可攜(可匯出格式與頻率)、替代供應商方案、關鍵程式碼/設定的託管或移交條款、退場時限、以及刪除與驗證流程。EBA 指引也要求機構要有退出策略(exit plans),尤其是關鍵或重要外包。



四、如何衡量「真的變安全」:三個最務實的指標


第一,偵測到應變的時間(MTTD/MTTR)是否持續下降。


這一組指標的價值在於:它直接反映你的「偵測能力」與「處置效率」是否真的在進步,而且能把 SOC/MDR、工具、流程、人力協作的問題一眼看出來。建議先把名詞定義清楚,因為 MTTR 在不同組織有時是「回應」(respond) 有時是「復原」(recover)。NIST 的事件應變建議也把偵測、回應、復原視為一條要持續改善的鏈條,並且強調要把事件應變融入整體風險管理與 CSF 2.0 的功能脈絡裡。


實務上我會建議你用「四個時間戳」把 MTTR 拆開,避免只看一個平均值就自我感覺良好:


  1. T0:最早可回溯的惡意行為時間(例如第一個異常登入、第一個惡意程序落地、第一筆可疑交易/API 呼叫)。

  2. T1:系統或人第一次「看到」的時間(告警觸發/被情資命中/用戶通報進線)。

  3. T2:確認為事件的時間(完成初判、定級、開案)。

  4. T3:完成「圍堵」的時間(阻斷帳號、隔離端點、封鎖 C2、切斷橫移路徑)。

  5. T4:完成「復原」的時間(服務恢復、資料校驗完成、風險已可接受)。


這樣你就能同時算出:

  • MTTD(T1−T0):偵測有多快、盲點在哪裡。

  • MTTT/MTTA(T2−T1):告警品質與分析負載是否過高(太多誤報會把這段拖長)。

  • MTTC(T3−T2):流程與權限是否卡關(需要跨部門批准、缺少一鍵隔離/停權能力)。

  • MTTR(恢復版)(T4−T2 或 T4−T3):復原是否受制於備份、切換、資料一致性檢核。


看數字時,別只看平均(mean),金融業更該看「P90/P95」或「最差 10%」:因為真正讓你上新聞的,往往是那幾次拖最久的事件。也建議用「事件類型」切開看(釣魚帳密外洩、端點惡意程式、雲端權限誤設、勒索前置橫移、交易系統異常等),你會更容易找到該投資的改善點。


第二,特權帳號與高風險存取是否可追溯、可稽核、可快速停權。


這個指標背後其實在問三件事:你是否做到了最小權限?你是否能完整記錄特權行為?當事情不對勁時你是否能「立刻」收回權限?NIST SP 800-53 的 AC-6 明確要求落實最小權限原則;


而 AU-2 也把「管理者/特權使用」列為應該被納入事件記錄與稽核的範疇。

更可操作的衡量方式,你可以把它變成一組「覆蓋率 + 時效 + 完整性」的 KPI:


  • 特權帳號盤點覆蓋率:特權帳號(含 AD/IdP、DBA、雲端 root/tenant admin、網路設備、核心應用管理後台)是否 100% 有清冊、系統歸屬與責任人。

  • 常駐特權占比:有多少人還在用「永久管理者權限」,能不能逐步改成 JIT(Just-in-Time)或有期限的臨時升權。

  • MFA 覆蓋率(尤其是特權存取):特權登入、VPN/零信任閘道、雲端主控台、遠端維運是否全部強制 MFA。

  • 高風險操作的「工單/核准/錄影」比例:例如變更 IAM Policy、關閉 EDR、停用稽核/Log、調整防火牆、建立新金鑰、修改交易限額規則等,是否都能對應到工單與核准紀錄,並具備操作軌跡(必要時含 session recording)。

  • 停權與回收的 SLA:人員離職、職務異動、外包到期、帳號風險升高(例如異地異常登入)時,從觸發到完成停權/降權要多久(用分鐘/小時計),並追「逾時率」。

  • 日誌可用性與可追溯性:特權行為的日誌是否集中到 SIEM、是否有足夠欄位(人、時間、來源、動作、結果、關聯工單),以及保存期限是否符合內控/監理要求。


你會發現,這組指標其實是在逼你把「權限治理」做實:不是有買 PAM 就算完成,而是要能在稽核或事故調查時,快速回答「誰在什麼時間,從哪裡,對哪個系統,做了什麼,為什麼能做,誰核准的」。


第三,演練與還原是否能在既定的 RTO/RPO 內完成,且每次演練都有把缺口關掉。


RTO(Recovery Time Objective)是「可接受的最長中斷時間」,RPO(Recovery Point Objective)是「可接受的最大資料損失量」(也可理解為最多能倒回到多久之前的資料)。在更偏金融市場基礎設施(FMI)的國際文件裡,甚至會明確提到「兩小時復原目標(2h-RTO)」這種等級的要求;同時也強調資料完整性與 RPO 要能支持恢復關鍵作業。


要把這項指標寫得「可驗證」,建議不要只做簡報式桌上推演(tabletop),而是把演練分成三層,且每層都量化:


  1. 技術復原(最硬的一層):從不可變更備份或隔離庫做實際還原;或做主備切換/跨區容災切換,量測「實際達到的 RTO/RPO」與成功率。

  2. 資料一致性(金融業很關鍵):服務起來不代表能交易,還要能對帳、重放交易指令、做一致性校驗與差異修補(這往往才是拖慢 T4 的元凶)。

  3. 營運降載(diminished capacity):若只能部分恢復,是否有清楚的優先序、替代流程、人工作業與對外溝通機制。


至於「每次演練都有把缺口關掉」,你可以用三個小指標把它管起來:

  • 缺失結案率:演練/事故後的改善項目(CAPA)在期限內關閉的比例。

  • 重複缺失率:同一類問題是否在下一次演練又出現(出現代表不是缺人修,而是制度或架構沒改到)。

  • 端到端時間是否縮短:例如同樣是勒索情境,第二次演練的隔離速度、停權速度、還原速度、資料校驗速度是否都有可量化改善。







bottom of page