活動：FISW2024金融資安研習營 地點：政大公企中心4樓 時間：2024年1月15日~16日 09:00-17:00 議程：https://fisw2024.ccisa.org.tw/%e6%b4%bb%e5%8b%95%e8%ad%b0%e7%a8%8b/ 投影片簡報：https://fisw2024.ccisa.org.tw/slides/ --- 第一天 09:00 主持人： 國立中正大學資訊工程 王銘宏教授 演講者： 中華民國資訊安全學會 范俊逸理事長 普鴻資訊股份有限公司 林群國董事長 題目：開幕致詞 內容： 王教授開場 范理事長致詞 * 學會成立30年，從沒有關注資安到沒有人不關注資安。 * 沒有資安就沒有信賴，沒有信賴就沒有交易，沒有交易就沒有錢。 林董事長致詞 * 希望學員畢業之後能投入金融資安方面。 --- 09:10 演講者：中華民金融監管委員會 林裕泰處長 題目：金融資安監理政策與趨勢 內容： * 金管會的任務：銀行、保險、證劵、期貨和相關主管機關 * 資安風險地圖，金融很常變成駭客的標的，特別是國家級的攻擊組織 * 第三方攻擊包含供應鏈的攻擊，例如：供應商 * 因為資安變動很大，透過法律規範緩不濟急，加上各產業資安需求不同，因此委託公會制定資安自律規範，例如：銀行公會自律規範 * 不是訂好看的，因為內稽內控有寫要符合自律規範，連結到銀行法有裁罰的規範 * 三道防線：自行查核，法遵和風險管理、內部稽核(說寫作一致) * 資安做得好，需要人、錢和資源，所以金融機構需要報董事會，需要審核做得如何，實際做的怎麼樣，因此金融機構才會很重視資安 * 上面不重視資安，下面怎麼做都沒用 * 監理的工具提供激勵誘因，比方說資安做得好費率越低，例如：存款保險和保險安定基金，能不能開放新業務，風險資本 * 金融機構樣式，風險高(駭客)、威脅多(ChatGpt新科技)、溝通少(金融單位聯繫少)、人才缺(資安人才找不到) * 金融資安行動方案1.0重點，重視強化資安監理、深化資安治理、精實金融韌性、發揮資安聯防；設定資安長，董事會有一個資安諮詢小組，董監事資安教育訓練，自律規範循環改善，民間組織成立資安長聯誼會，金融資安分享中心(F-ISAC)，蒐集很多資安的弱點和資訊分享給所有成員，原本跟國外買情資，現在是國內成員貢獻，然後再分享給所有會員(64%)。 * 近期金融資安威脅，網路攻防、數位韌性、居家和異地辦公、數位轉型。 * 金融資安行動方案2.0重點，擴大適用、落實深化、鼓勵前瞻。 * 政策面：設立資安長到資安長聯繫會議，重大事件因應。管理面：國際標準、資安人才。技術面：事前、事中、事後。 * 深化：零信任、有效、聯防。 * 統一的身分驗證機制，例如：金融FIDO，原本想推自然人憑證，但失敗 * 每一個業務都有不能的身分等級(ISO 29115 數位身分驗證等級) * 第三方風險評估與管理：供應鏈管理，比方說是否需要稽核他，還有他自己的RPO和RTO，服務能否多久恢復。 * 營運持續計畫：現在都數位帳戶，沒有存摺，只有銀行知道你有多少錢。本地備份、異動備份、離線備份，希望還可以到雲端做備份，金管會的態度是，上雲可以但是要審核，金融韌性越來越重要，類似烏俄戰爭，銀行一夕上雲，因此鬆綁，讓金融機構根據風險自行判斷是否需要上雲，現在只有重大性、消費性金融加跨境委外三者都有才需要通報。 * 資安的木桶理論：一段時間雲地整合，地方防禦已經有一定水準，雲端是否會成為破口。 * 問三大公有雲都說有做雲端防護，但是雲端要共同責任，比方說IAAS，硬體是雲端，我們只要負責虛擬機，但是很多責任其實是分不清楚的。 * 雲端資安最常見的是組態設定錯誤，比方說使用預設的設定，結果是在網路公開 * 上雲預算越來越高，加上三大公有雲業者每年持續漲價(3%~5%)，資安服務要另外買，是否是雲端綁架，可以住但永遠不能離開？ * 上雲端的挑戰：透明度不足，人才不夠，CSP的資安風險，各國監管制度不一，契約談判不易，產業高度集中造成的潛在影響(只有三家)。 * 擴大國際資安管理標準導入和資安監控機制(SOC) * 資安監控與防禦有效性評估(可視性)：例如使用MITRE ATT&CK搜尋的駭客手法相對應，並且導入Cloud Matrix，雲端可視性 * NIST 零信任導入建議 (NIST SP 800-207)，美國政府-2024零信任安全目標，除了三項(身分鑑別、設備鑑別和信任推斷)外還有網路安全、應用安全和資料安全。 * CISA的零信任成熟度模型：身分、設備、網路、應用程式、資料。 * 高風險場域先行；基礎原則先行；動態監控支援信任推斷。 * 人才培訓部分：根據之前說的所需要的技能。 * 資安聯防SOC * 資安攻防演練：最好的演練就是實際攻防，重點是DDOS攻防演練(流量清洗是否有效)，內部使用BAS，為小成本的演練情境，但不需要人為介入。 * 資安事件情境演練：詢問資安長如遭遇檔案加密事件，如何通報和處理，為紙上模擬。 * 情境也包含網頁置換和資料外洩包含APT和VPN。 * 參與資安事件人員包含：藍隊、紅隊和回應人員。 * 結論：金管會需要靠大家一起合作，金融服務、資安先行。FIRST(金融、獨立監控、韌性、安全、團隊合作)。 10:10 演講者：財團法人金融聯合徵信中心 鄭祺耀副總經理 題目：晶片金融卡識別之過去、現在和未來 內容： * 國家應該建立資訊安全標準和認證制度 * 資通安全會報以前說要制度，但沒有一個整體統一的單位(類似銀行公會) * 美國有NIST和歐盟有ENISA，例如亂碼化設備安不安全，因為沒有標準，所以產業沒有共識，工廠不知道要不要做，有標準才有產業，學校也才知道要不要教 * 零信任安全模式：晶片卡是個例子 * ISO 7816 晶片卡識別(以前)，民國70幾年標準，那時候網路不發達，晶片卡是個被動元件。離線模式，終端機(端末)和卡片就識別了，使用挑戰模式亂數，成功才可以讀寫資料。直接用數字(類似uid)認證持卡人。 * 目錄結構，寫進去的時候沒辦法update資料。 * 資料寫進來有產生簽驗章的概念。 * 指令參考：Select。 * IC金融卡：多功能卡設計：轉帳卡、預付卡、電話卡、醫療卡。(當初希望共用一張卡片) * 沒有推得很好原因：缺點很多，例如卡片黑名單管理，端末設備管理成本高(比方說RSA512提升至1024就要換版)，離線不適用網際網路環境建置。 * 晶片金融卡(目前)：晶片卡僅作為**身分**及**交易識別**之工具，沒有其他資料，**訊息確認概念**。 * PIN存在卡片，訊息是發卡銀行確認。(online交易) * PIN過了，發卡銀行判斷什麼卡，因為新功能都在線上，只要上線就好。 * 卡片第一代、第二代和第三代都可以用，由發卡銀行決定你可以使用的業務。 * ATM和卡片不需要互相驗證，所有交易回到發卡銀行。 * 卡片增加指令功能，確保交易訊息唯一性，每寫一筆會產生一筆簽章(端末+卡片)，所以發卡銀行會知道交易唯一性。 * 磁條卡主張卡片被盜錄，銀行賠，但是晶片金融卡會留存軌跡。 * SVC/OTP的設計，訊息的認證。 * 晶片金融卡約定轉入帳號，存在晶片金融卡。 * 因為採用訊息確認概念，所以有很多應用，國泰保險和國泰銀行合作保險貸款卡，如果戶頭沒錢直接跟保險公司借，玉山銀行提供網路收單。 * 會想要講未來是因為他還有缺失，例如：端末需要讀卡機設備，比方說轉5000元，被駭客改掉，持卡人還是不知道儲存訊息。 * 未來的晶片金融卡：現在識別的工具分很多等級，高、中、低風險，目前沒有一個好的標準。 * 人權團體認為發行晶片金融卡沒辦法保護個資，自然人憑證是自願申請，eID是強制發行。 * 手機可以替代識別，原因是**身分識別**可以，但**交易識別**不行，交易的KEY在APP裡面，很難共用，FIDO也是使用公用的硬體元件。 * 瑞典是一個eID推廣很好的例子。 * 未來卡片須具備螢幕顯示，因為非接觸，使用者無法確認交易內容。 * 指紋儲存在晶片中，晶片的安全性？ * 一張卡到每家銀行註冊使用，達到一卡多用。 * 結論：過去IC金融卡，設備認證，現在晶片金融卡，訊息替代確認身分，未來晶片金融卡，因為以後都是非接觸，持人卡如何確認，身分識別如何保護(指紋)。 11:10 演講者：星展銀行股份有限公司 李嘉銘資深副總裁 題目：建構零信任架構，打造零信任安全 內容： * 證照不重要，只是因為金管會要求，對我們公司來講就是參考用。(勉勵大學生) * 建議找一門課，自己做投影片，自己講，比任何證照都有用。(勉勵大學生) * 零信任概念，以前資安是個城堡，保護好就沒事(DMZ/LAN)，現在都是木馬近來，所以已經沒有邊界。 * 數發部部長唐鳳說過：任何資料都不信任，都要驗證。 * 零信任架構(NIST 800-207)：3.0和3.1的標準。 * 數發部看完3.0，概念性的架構，可執行的內容寫成零信任的要求。111年(身分鑑別)，112年管人用的電腦(設備鑑別)，113年管人用的電腦可以連去哪裡(信任推斷)。 * 主體(帳號和密碼)->問政策決策點(要不要驗證)->存取系統。 * 帳號密碼只是一個機制，上一場晶片金融卡也可以。 * 支援組件就是滿足這種機制要懂得know-how。 * 舉一個例子來說，類似網路設備，例如：數據機密碼是放在裡面，但是要往後問，例如：Radius或Tacacs+，這樣可以解釋零信任。 * 星展銀行會邀請零信任之父來台灣演講。 * 111年身分證別，設備識別+指紋，憑證也算，自然人憑證、工商憑證和護照也可以，往外交部丟，不能在本機驗證，因為憑證有可能已經被註銷。 * 112年設備鑑別，行政院有驗證硬體就可以買，裝置安全性要有TPM。 * 113年信任推斷，你的電腦是不是我認識的電腦(不是私人)，就算公司電腦沒有裝防毒軟體也不能連線。 * 3.1的要求，做好對人的身分識別，對網路做區隔，對AP做區隔，類似潛水艇每個艙都要區隔。 * multi-factor：任何廠商都認為多因子認證可以防止99.9的攻擊。(行政院和Fido不要密碼，所以是設備+指紋，只要有兩項就算，NIST三個都可以)。 * 星展銀行，密碼對指紋對，再確認你要去哪裡，誰你真的要去XXX應用系統，做什麼事情都要讓客戶和員工確認。 * 行動APP防護，你要登入星展或花旗信用卡需要安裝才可以登入，比方說裝了駭客的APP，目前只是警告，之後會不讓你用。 * 金管會打詐，類似韓國有合作APP，只要安裝不安全的APP會立刻刪除。 * ZTA：在家上班要2FA，在公司上班要用跳板機2FA。(行員被抱怨一直看手機，因為要一直看OTP，零信任，沒有SSO) * 人可以連哪些外部網站也是要控管，比方說行員和資訊人員能去的網站不同，不是只有阻擋黃賭毒網站。 * 案例：第一銀行倫敦電話系統可以連到ATM，遠東銀行SWIFT轉帳。 * 實體隔離其實不太好做，一般都是用軟體隔離，只要入侵一台就可以連到其他地方，因此要網斷隔離，南北向區隔(WEB1+AP1+DB1同一組)，而不是入侵一個網斷都可以連。 * AD管理員、補丁人員和變更人員，是最喜歡被社交工程的一群，因為他們有高權限可以連上跳板機。 * 例如：服務帳號可以透過資料庫port 1433連線，但是人的帳號不可以。 * 結論：金融買了很多設備和東西，防火牆左右隔開，網路隔離，access matrix我們來定義，不同的角色有不同的權限，另如主管不能有經辦權限，職責分離，電腦要裝防毒，硬碟要加密(不然帶回家要讀到)，如果連重要系統要進入Secure Room，所有動作錄影，信件需要DLP，程式是否有漏洞，弱點掃描、滲透測試，然後全公司LOG都要蒐集用SOC告警，在家上班畫面會有WaterMark(浮水印)，手機防護，紅軍來打，藍軍防護，紫軍來看。 13:00 演講者：國立清華大學資訊安全研究所 張宏民教授 題目：金融機構APP安全檢測 內容： * 網路銀行行動APP我們需要去檢測是否安全，十年前就開始追蹤，發現都有漏洞，類似Man-in-Middle攻擊，原因是因為寫行動銀行APP的工程師之前是寫網銀，瀏覽器之前把憑證驗證做掉，但APP不會，所以要額外寫。 * 104年起推行動應用APP資安任驗證機制，行動應用資安聯盟(https://www.mas.org.tw)，目前已經移轉到數發部，目前正在改版由V3.0、V3.1、V3.2，而V4.0預計下半年推出，follow國際組織制定標準。 * 開發自動化檢測系統，一開始只有Android的apk靜態檢測系統，後來開發Android動態檢測系統，iOS因為比較封閉，無法透過反組譯取得Source code，只有Byte Code，但還是可以看呼叫哪些元件分析。 * 靜態和動態是互補的，有些檢測項靜態看不出來，要透過動態。 * 開發APP的過程中要follow SSDLC，一邊開發一邊要檢測，如果發開完才送，會為時已晚，一堆漏洞補不完甚至要改框架。 * 靜態分析方法：Code Review，APK以及IPA檔，參考的是OWASP Mobile Top 10、NIST等，工業局在推的是MAS標準，驗證過的給標章。 * 動態分析方法：同上。 * 分析台灣各個銀行APP，發現常見個八個問題，例如：WebView setJavaScriptEnabled、使用https不能使用http、螢幕擷取等。 * APP的標準：MAS(國內)、CVE、OWASP、NIST、CSA、OWASP Mobile Top 10(2016)。 * 分析的結果，範例如投影片。 * 銀行對行動應用程式最嚴謹，分類有分L1、L2和L3，L3是最高就是有交易行為，F是加測項，比方說L3+F檢測。 * 越獄(手機被破解過)檢測，所以要檢測手機有沒有被Root或Jailbreak(JB)，比方說你有Root我就不打開不讓駭客分析。 * 通過不代表安全，駭客還是可以Bypass，日本銀行有偵測但50%可以Bypass。 * APP是否有混淆、加殼和脫殼。 * 檢測報告：分成三個等級Critical、Warning、Notice，和CVSS分數。 * 動態執行，蒐集log進行分析，產生報表。 13:50 演講者：國立中山大學資訊工程學系 徐瑞壕教授 題目：基於零信任與標準認證框架之行動支付安全 內容： * 內容來自實驗室同學的研究，FIDO2為例。 * 行動支付定義為利用行動裝置來作為交易工具的一種支付方式。 * 種類包含：行動支付(Apple pay)、電子支付(iCash Pay)、電子票證(Easy Card)、第三方支付(Line Pay)。 * 三大來源：銀行帳號、簽帳金融卡、信用卡。 * EMCco聯盟提出的Three-Domain Secure作為研究目標，消費者跟商家買東西，首先先確認消費者身分，消費者->發卡銀行->數據交換方->商家->收單銀行。 * 會有問題，消費者和發卡銀行驗證，密碼驗證過程因釣魚攻擊或惡意程式而遭受洩漏，標準是銀行端自己制定，商家和收單銀行自定義安全通道遭到破解而產生交易資料外洩，收單銀行透過支付網路到發卡銀行自定義安全通道遭到破解而產生交易資料外洩，例如透過手機裝的6個APP可以分析是誰。 * 舉例：連線商業銀行 3D OTP驗證，同時傳送到電子信箱。 * 多因子驗證仍然可能不安全，只花費16塊美金社交工程破解簡訊認證碼，騙取OTP。 * FIDO也有可能被破解。 * 歐洲支付委員會2023年11月發布的支付威脅報告，威脅與攻擊還是相當嚴峻，例如：假拍賣及購物網站詐騙、SEO下毒，建議使用AI或大數據判斷。 * 手機非常不安全，下載越多APP風險越高。 * 3DS可以自行透過購物樣態來作止付，比方說不玩網路遊戲的人突然購買大量點數卡。 * 傳統密碼(方便)->FIDO(無密碼，因為放在TPM可攜性不高，專用的硬體指紋辨識所以成本高)->FIDO2(可攜性高)。 * FIDO2註冊階段，生成私鑰和公鑰。認證階段。 * 行動支付3DS2.0問題，研究發現如下投影片。可使用QR code作裝置轉移，QE code比MFA安全，畢竟要看到圖。 * 資料交換採取ZTA的架構，身分鑑別(多因子)、設備鑑別(設備健康)和信任推斷(使用者情境)。 * 使用到盲簽章的技術，盲簽章是一種數位簽名的形式，其中文件的內容在簽名之前會被遮蔽（盲化）。這種過程用於確保簽名者的隱私和匿名性。簽名者無法看到實際的內容，但仍能提供有效的簽名。這種方法常用於加密和隱私保護領域，例如在電子投票系統中保護選民的身份。 * 結論：提高3DS2.0的安全性。 14:40 演講者：台新國際商業銀行 陳詰昌資安長 題目：建構共好資安推動企業永續 內容： * 題目是資安的角度談到企業的ESG，主講人之前從事19年的資訊犯罪。 * CISO把I去掉變成CSO。 * 金融業資訊化發展，金融全球化(1866~1967)、金融業務IT化(1950-1980)、互聯網金融(1990-2008)、金融科技(2008之後)普惠金融減少數位落差 * 近年全球重大金融資安事件，2008年以前比較少，舉例：第一銀行盜領案，但他們說自己是封閉型網路，遠銀的案件，虛擬貨幣被入侵，每個都是幾百萬上億的損失，因為金融開始開放，所以有新的風險。 * 以前目標是傳統銀行，現在是虛擬貨幣交易平台，喜歡虛擬貨幣勝過法幣。 * 孫子兵法不是教我們怎麼勝，而是不敗，遇到事件發生之後可以很快爬起來，事件不會造成嚴重的損害。 * 資安長談到的是創新之餘是否有安全，這樣就是永續。 * 不喜歡用網路銀行，因為安全度無法信任，自駕車很方便，但是你敢用嗎？這個跟安全(永續)有關。 * 資安和ESG關聯性，但是有什麼關聯？Environmental(減少浪費)、Social(實施資訊安全對策，提升客戶信任)、Governance(資安文化、組織韌性) * 晚上經辦電腦沒有用的關機，上海商銀外洩1.4萬名客戶資料遭重罰1000萬元。 * 資安促成企業永續：系統安全(威脅弱點可視化)、營運持續(已知風險管理)、企業韌性(未知風險對應)、金融永續(安全信任形象)。 * 拿到ISO22301並不代表達到企業韌性，因為太多未知風險。 * 資安從自己開始，駭客已取得每人所有的個資。 * 165反詐騙公布了很多電商但大家還是不在乎，繼續買。 * 系統安全包含縱深防禦，零信任是存取控制的進化版，過去只認帳號密碼，多因子驗證，現在看你在哪裡或裝置驗證，講者認為可以先作身分推斷。 * 撞庫攻擊就是資料外洩很常見的例子，拿別個帳號的帳號密碼拿來試元大銀行的下單系統，解決方法是利用多因子驗證。 * 元大憑證可以透過身分證和出生年月日拿到，what you have可以拿到what you know，就不是一個好的設計。 * 永豐銀行OTP不但發送到手機，也發送到Email(帳號密碼)。 * 黑天鵝事件，未知的技術、金融、人員、流程和合規的風險。 * 資安生態系，盼ERP系統商潔身自愛，別當資安老鼠屎。 * 可以整合社群，Hitcon、資安長聯盟，Google提供100萬美金企業提升資安。 * 透明和分享，企業主動分享分享，利他、共好。 15:30 演講者：財金資訊股份有限公司 朱伯振副總經理 題目：金融資安資訊分享及分析中心之現況與發展 內容： * 財金中心，銀行間跨行轉帳ATM，但今天要講的是F-ISAC、F-SOC和F-CERT。 * 威脅案例：蠕蟲->間諜軟體->APT Cyberwar->多變攻擊方式勒索軟體->駭客組織攻擊。 * 資安院很重視零信任，廠商通過認證，國外沒有分三階段，而是融合一起作。 * 駭客攻擊產生威脅，金融機構資安防禦管理產生弱點，兩個造成後果。 * 第一銀行ATM盜領案是造成F-ISAC成立的一個因素。 * 我們防禦要有駭客思維，不知道怎麼攻要怎麼防。 * 為什麼他們不從總行攻近來，因為分行相對防禦是比較弱的。 * 遠銀事件是造成F-ISAC成立的一個因素。 * 想要匯款到國外都要透過SWIFT組織，機器要鎖在特定的地方。 * 一開始駭客說你們被勒索，聲東擊西，目標是SWIFT主機匯款。 * 2017年13劵商遭受DDOS攻擊勒索。 * 2021年釣魚軟體詐騙規模擴大，假造網址，釣魚OTP的密碼。 * 2021年劵商被撞庫攻擊。 * 2022年駭客主機APT宣稱對臺灣政府機關發動攻擊。 * 常見威脅場景：例如：挖礦程式、Webshell。 * 主流入侵攻擊：可以從Mitre Att&ck學習，雲端也讓駭客取得成本資源降低， * 勒索病毒攻擊：入侵管道(尤其是**社交工程**)、取得高權、橫向移動、遠端操控、加密勒索。 * 特權帳號管理：以前都是用密碼函，但是封的人還是知道密碼，現在許多特權帳號管理軟體(類似CyberArk)，連管密碼的人也不知道。 * 每一季做一次社交工程攻擊，樣本的選擇很重要，類似最近熱門的新聞事件。 * 供應鏈攻擊，第三方軟體廠商被攻破，如果又沒有採取零信任。 * F-ISAC會偵測有人被偽冒，通知銀行去跟調查局下架網域功能。 * F-ISAC，有330個會員，跟國際的ISACs簽訂合作意向書，透過情資的購買和分享，然後再分析、分類給所有的會員。 * 攻防演練的平台，紅隊和藍隊，36隊每隊五人，取6隊跟駭客協會合作，直接用人攻擊。 * 安全組態基準規範。 * 金融資安治理成熟度評估，政策的制定和管理。 * F-SOC，SOC是監控，二線SOC，一線是銀行本身，去識別化然後分享給所有會員。 * F-CERT，CERT是緊急應變處理。 16:20 演講者：國立中興大學資訊管理學系 林詠章特聘教授 題目：金融區塊鏈安全 內容： * 去年去講GameFi主題，NFT都沒有漲回來。 * 講一下跟產業的合作和最近的研究。 * DeFi(分散式金融)有三個特性無須中介機構(雙方不認識，但不需要中介)、開放性和可存取性(任何人只要有加密錢包就可以交易)和智慧合約和自動化(合約自動生效)。 * 畫廊(ARTAGE)的範例：藝術品產生**數位產權**，比方說土地的產權是政府發的，有產權是金融商品，沒產權不是，所以你拿真畫去銀行他也不敢借錢給你，因為他不知道你畫哪裡來的。 * 藝術品可以持分，目前畫廊就有持分的機制，比方說四個好朋友各買四分之一。 * 我要買其他三個人有優先購買權，都會寫在合約裡面，或是有設定獲利了結，有優先購買權，智慧合約可以解決。 * 畫廊想要上網賣，畫單價很高，所以可以拆開來賣，買十分之一的產權。 * 藝術品防偽認證服務，數位產權轉移。 * 畫放在藝術銀行裡，然後再租給公共藝術空間，例如牙醫診所。 * 第一步，將藝術品資訊上傳至區塊鏈。 * 最重要是智慧合約一經發布便無法修改。 * 安全問題第一名是錢包的安全，私鑰被騙走，所以使用冷錢包。 * 智慧合約的安全，如果程式邏輯有BUG，不能改就被攻擊了。 * 過去的方法有仰賴原碼檢測器。 * 佈上去使用Gas(算力)當計價，所以駭客會用觸發算力攻擊。 * 區塊鏈攻擊的態樣請參考投影片，10種請參考投影片。 * 可以使用GPT進行智慧合約安全分析。 * SLITHER和Mythril(原本智慧合約檢測器)檢測器的安全性分析。 * GPT3.5的準確率比SLITHER和Mythril還高。 --- 第二天 09:30 演講者：國立臺北科技大學資訊與財金管理系 魏銪志教授 題目：金融資安風險管理 內容： * 風險管理最重要的就是風險識別。 * 研究方向是營運持續，金融資安，還有個資。 * 風險很吃實務，學生方面大概只是知道基礎。 * 資安威脅DDOS的攻擊愈來愈多，DDOS對金融業的攻擊仍然持續增加。 * 純網銀如果只剩單一窗口，被攻擊，公司怎麼賺錢。 * 那我放在雲服務是否就不會被攻擊呢？要考慮多雲，資料保護。 * 金融機構如何面對大型的DDOS攻擊：權責區分、利害關係人、不是合規就可以，但是沒有滿足期待、組織文化。 * DDOS可以透過實際演練，確認技術和通報還有流程。攻擊和防禦廠商不要找同一家，利益迴避。 * 雲服務不要踢皮球，以Iaas為例，網路安全會踢皮球。 * 雲端架構可能暴露更多的資訊安全風險，雲服務的透明程度不高。 * Captial One 雲端資料外洩，AWS說你們設定有問題單一事件，但是有30幾家被偷，偷的人曾經在AWS工作過，後來承認是自己防火牆失誤，被罰8000萬，Captial One公司也有保險。 * 到時候可能要比法務，但是雲端業者的法務都很強。 * 引用27005:2022年版，基於31000，框架改動不大，風險識別、風險分析、風險評估、風險管理、風險分擔和風險接受。 * 要跟當初全景的建立做比較，所以很吃你當初的評估的準則。 * 如果歷史上沒有發生過，是否就表示永遠不可能發生？？？ * 風險處理會使用27001的附錄A做控制措施，但是每個產業不同，所以不一定只使用。 * **風險處理後可能會產生新的風險**，例如：南山人壽沒辦法做新舊保單一致。 * 保證評鑑的一致性、有效性、可重複性和可比性。 * 因為以上理由紙本不能被稽核接受，20年前可以，但不代表是對的。 * 資訊安全要讓人感受到很重要。 * 選擇合適的評鑑方法，event-based。 * 風險的難題，資產漏列，控制措施的控制和追蹤。結果個資的風險管理。 * 使用人工智慧進行風險管理，比方說傳統是使用抽樣。 10:20 演講者：捷智商訊科技股份有限公司 楊秀怜總經理 題目：金融產業資料治理-資料安全保護 內容： * 客戶學到的經驗分享。 * 捷智商訊股份有限公司介紹。一開始做資料倉儲，客戶案例：台新銀行。 * MetaEdge解決方案，目前專注在申報報表，例如：防制洗錢。 * 資安事件：個人資料保護，包含直接識別和間接識別。舉例：Line個資外洩。 * 金融資安行動方案2.0-精進重點。 * 廠商拿到ISO27001，可以減少被第二方稽核，比方說台銀稽核供應商。 * 核心資料保全：機密性、完整性、可用性。三點是平衡的，比方說工廠最重要就是可用性，停工會有重大損失。 * 資料的可用性，比方說身分證去識別化，但又想可利用，所以只留前兩碼，保留出生地。 * 資安威脅分享。 * 資料防範：密碼學(數位簽章)、存取控制(防火牆)、隱藏(VPN、個資去識別化)。 * 資料分析工具(AI,BI)，直接存取使用去識別化資料。 * 資料去識別化有分破化式的或是可還原式的。 * 設計考量要項：效率、鑑值要項等五項。 11:10 演講者：凱基商業銀行 黃裕翔副總經理 題目：淺談金融交易系統設計安全 內容： * 我是CIO的身分，我們是中華開發金控底下公司。 * 資安及國安，你要先確定你要守護的邊界是啥。 * 不要管雲或地，只要在Domain底下都要管。 * 應用系統可以想成，國防部之類的形象。 * 我們這次講的是一個非常狹義的觀念。 * DMZ資安防護：IPS、FW、WAF、LB、RP、WS。 * 三層式架構，WEB(只放網頁不放邏輯)、AP和DB切開。 * 應用系統資安檢測：白箱檢測(對程式碼檢測，比方說密碼寫在程式碼或是private變數變成public)、黑箱檢測(直接連上去使用)、網路滲透檢測(社交工程也算，垃圾桶搜尋)、弱點掃描(你的IIS版本是否有弱點或最新，提升到相對安全的版本)、應用程式滲透檢測(應用程式掃描後，然後使用人去破解，比方說可以訂票但是退票沒有成本) * 現在駭客都在傾向研究系統的流程漏洞，而不是作業系統或應用程式版本 * 應用程式開發安全：OWSAP Top 10 2021，講的就是10大網頁安全露點。OWSAP API Security Risks Top 10，現在很多API的應用。 * OWSAP來源來至CWE來做分類。如果你是寫C的程式，可以參考2023 CWE Top 25。 * OWSAP Top 10 2021，A01，Broken Access Control，比方說員工看到主管的權限。 * OWSAP Top 10 2021，A02，Cryptographic Failures，比方說自己寫的編碼或是Base64、MD5、SHA128。 * OWSAP Top 10 2021，A03，Injection，網頁上輸入資料庫可執行的程式碼。 * A04，邏輯設計有問題，A06，使用過時的元件，A07，連上來Session控制不好而冒名使用，A08，透過防毒軟體發布木馬，A09，買了軟體但沒有去看或調教，就算使用AI一開始還是人設定餵資料，A10，做一個假的請求來提權或取得敏感性資料。 * OWSAP Mobile Top 10，M1，憑證使用不當，密碼和Token寫在程式裡，密碼引用時要先加密在解密，M2，供應鏈安全不足，從供應鏈當破口，比方說元件埋木馬，M4，輸出/輸入驗證不足，驗證檢查分兩段，前面有做檢查，駭客會跳過直接打伺服器，M5，TLS有一些加密組合已經過時，M6，隱私控制不足，APP的LOG寫在手機裡面，包含個資，M7，二進位碼保護不足，加密、加殼和亂碼化， * OWSAP API Security Top 10 2023，API4，不受限的資源消耗，比方說大量查詢API，API9，比方說舊的程式改成.bak，但是沒有拿下來。 * 結論：現在有人工資慧，越來越難防護，資訊和資安要共同合作。 13:00 演講者：財宏科技股份有限公司 黃少良總經理 題目：金融資訊系統設計-資安與備援架構 內容： * 金融系統資安與備援架構 規劃示意圖，安全很重要，但是不中斷成本很高。 * 所有的危險都是從DMZ過來，所以要先分區，不同的安全等級要對應不同的控制措施，比方說機場入關的防禦最高。 * 測試環境的安全措施比較少，夠就好。 * 網路銀行最重要的就是保護Key，亂碼器。 * DMZ首先要有UTM(次世代防火牆)，有一些特殊的功能，早期的防火牆只有很初略的，比方說不讓大陸的IP過來，現在有IPS的功能。 * DDOS為最常見的攻擊，例如櫃台一直有人抽號碼牌，但是不給提供服務，讓真正想用的人無法使用。 * 所以要用ISP業者(中華、遠傳)購買DDOS流量清洗服務。 * 銀行也跟外部機構有關聯，比方說大賣場收單。 * 專線太貴了，所以現在大家都用VPN。 * Router可以透過HSRP避免單點故障。 * 因為主要機房可能會完成失效，所以要建立異地備援機房(距離30公里)。 * 內部網段區分：AP區/DB區/HSM Zone區(高敏感資料)。 * 虛擬機主機：透過SAN Switch分享Storage資料。 * 硬碟可以做RAID-TEC至少七顆，可以同時壞三顆。 * 帳號雙因素驗證。 * 應用系統交易面，例如：機密性、完整性、可用性、不可否認性。 * 資安檢測，程式碼掃描、弱點掃描、測透測試。 13:50 演講者：普鴻資訊股份有限公司 洪存仁副總經理 題目：密碼學在金融交易及資安的應用 內容： * 實現密碼學使用硬體亂碼化設備。 * 支付是什麼？支付不是免費的。不管你是窮人還是富人都會使用到。 * 如果支付失效比核子武器恐怖，也會造成民眾恐慌，一月到九月電子支付台灣區為5.39兆。 * 對稱式和非對稱式，不需要金鑰的是Hash。 * 對稱式如：DES、Triple DES、AES。 * 非對稱式：RSA。 * 憑證：CA，例如TWCA，經過Root CA去做驗證。 * 透過RA註冊中心，驗證這個人是誰。 * HASH：固定長度，不可反推，One Way Function。 * 加密技術整合，比方說使用非對稱傳送對稱式加密金鑰。 * 硬體亂碼化設備介紹，HSM，軟體式運算較不安全。 * 其實我們一般接觸到的Token都算，只是應用不同。 * 硬體亂碼化設備設計上考量的安全，實體、邏輯、環境、操作安全。 * 實體安全：比方說打開機殼金鑰就會消失。 * 邏輯安全：金鑰有無保護。 * 環境安全：有沒有存取控制，獨立房間之類的，兩個主管在場才可以進入。 * 操作安全： * HSM其實是遵循FIPS 140-2以上，金融業至少要等級三。 * 金鑰管理的目的，安全性、強韌性、擴充性。 * 金融交易安全範例：比方說網路銀行交易。 * 基碼經發卡銀行多樣化處理，確保其變異性與唯一性。 * 國外很多還是使用磁碟卡，95年以後只使用晶片卡。 * TLS通道加密，目前最新版本是TLS1.3。 * 金融FIDO帶來無密碼時代。 * ProFIDO解決方案。 * 零信任方案ZTA，身分識別，設備鑑別和信任推斷。 14:40 演講者：永豐金控股份有限公司 高大宇副總經理 題目：金融資安實習與事件應變 內容： * 資安治理。 * CISO的職責，PDCA。 * CISO的識人哲學，基層、中層和高層還有決策圈。 * 資安風險發展的趨勢分析 * 產官學合作 * 路卡交換原理 * GRC * 換位思考：如果你是資安長，你不能老是用技術的思維。 * 說故事般溝通 * 你有沒有關鍵具體成就。 * 資訊/資安分工：三道防線。資訊、資安、稽核 KISS原則，複雜問題簡單化。 * 公司目前是賺錢，所以要量化和質化，比方說擋了幾次攻擊。 * 犯罪學三要素，有動機的人，有價值的物品，機會。 * 開源軟體之著作權。 * 一個人走很快，一群人走很遠。 * 實習制度介紹。 15:30 演講者：國立政治大學資訊科學系 左瑞麟特聘教授 題目：量子計算與金融科技安全 內容： * 量子計算是未來式。 * 政大資安研究所介紹。 * 量子的特性，新的手段處理資訊，量子主要有兩種狀態，疊加態和糾纏態。 * 量子計算於金融科技中之應用。 * 負面的效果為，第七屆金融科技大會討論，對全球網路威脅不可忽視，比方說目前的加密技術都被破解。 * 對稱式：鑰匙一模一樣。 * 非對稱式：加密和解密鑰匙不一樣。 * 基於數學上的難問題(NP-problems)，因數分解。 * 量子電腦擅長解決一定週期結構的任何困難問題，對稱式減半，非對稱式完全破解。 * 金融FIDO使用非對稱技術，所以是威脅。 * 比特幣也不安全，因為使用到ECSDA。 * 央行數位貨幣也不安全。 * 憑證也不安全，因為它們是使用公私鑰的概念。 * TLS和VPN也不安全。 * 我們還剩幾年可以準備？只能保證2028年以前。 * CSA推估2030年4月14日量子電腦出來。 * 美國和中國預估2025年就可以發展出來量子電腦。 * 所以我們要遷移到抗量子電腦攻擊的演算法。 * 一般叫做後量子密碼學。 * NIST於2016年就已經在公開徵求。 * 公鑰64vs1300，所以數目變大。 * 也不是全部都要用，所以先做風險分級。 * 遷移過程中要考慮使用複合密碼系統。(傳統的PKC和量子密碼系統PQC) * 金管會應該要做後量子遷移的引導。 * 現在已經有大量儲存密文，等待量子電腦出來在解密。 16:10 摸獎活動 林群國 董事長(普鴻資訊股份有限公司) 於現場抽出6名幸運兒，送出價值$ 7,490 AirPods Pro(第二代)乙台、價值$3,000 HomePod mini 三台、價值$990 AirTag 2個 16:15 閉幕&頒發證書 范俊逸 理事長(中華民國資訊安全學會) 頒發兩天全程餐與81位證書