# 金融資安 - 銀行資安管理與分析 更多資安原創文章都在 SecTools.tw 可以追蹤我們新創立的粉絲團與Youtube ## 事件 ### 銀行搶案型態 #### 第一起銀行搶案在 1982/4/14 戴假髮扮裝偷錢 #### 第一銀行 ATM 盜領 民國 105/7/11，詐領新台幣8千萬 ##### 流程 1. 駭客寄出惡意程式 2. 一級主官中招 3. 倫敦分行內網被打進來 4. 經由滲透ATM系統更新伺服器 5. 遠端控制分散式DNS派送伺服器 6. 送惡意程式更新檔到 ATM ##### 階段 1. 從分行入侵內網 2. 建立內網潛伏基地 3. 案中蒐集入侵情報 4. ATM 入侵準備 5. 開啟 ATM 遠端控制 6. 植入 ATM 控制木馬，發動盜領 ##### 後續處理 * ATM Wincor PC1500 被汰換 * 加強員工訓練 ### 遠東銀行 SWIFT 盜轉案 #### 流程 1. email 附加檔案塞後門程式 2. 10/3 遠銀發現系統速度變慢、電腦中毒通報金管會 3. 趁遠銀處理其他病毒時，用後門打SWIFT系統 4. 10/4 駭客拿到root，發出七筆假的匯款電文 6000多萬美元 5. 資料加密，刪LOG 延緩被發現 #### 致命錯誤 1. SWIFT人員授權過大，不符合最小授權原則 2. 應做實體隔離，但網段沒隔離，有其他系統在同個網段 3. 內部稽核沒做好，前台作業、法遵與風險管理到最後內部稽核 #### 罰錢 1. 罰800萬 2. 成立專案小組 3. 實體隔離、權限控管落實 4. 內部稽核 ## 銀行系統軟體架構 * SAP, BaNCS, T24, flexcube * FCS 檔案控管系統 * GL 會計系統 * EAI * 網銀 * 外圍系統 * 語音 * 基金授信 * ATM/RM (FEP) ## 銀行資安防護 ### 縱深防禦 #### 網際網路防護 * 防火牆 * 具備封包過濾，控制外界網路與本行網路間之資料傳輸與資源存取 * WAF * 強化銀行對外服務網站之安全，阻擋 * IPS * 監測異常網路行為的可疑封包 * 網頁防毒 * 郵件防護 * 防制及偵測電腦病毒、特洛伊木馬及邏輯炸彈侵入 * 滲透測試 * 由專業第三方顧問對網路或系統進行安全測試 * 上網行為管理 * 即時分析網頁流量 #### 內部網路防護 * WAN 線路加密傳輸 * 各營業單位與中心線路加密傳輸 * 垃圾郵件防禦系統(SPAM) * 減少郵件伺服器儲存空間 * AD 身份認證驗證機制(不確定是放在內部網路防護還是端點個人電腦防護) * 網頁代理伺服器(Proxy) * 強化網頁瀏算度並利用限制連線網頁 * VPN (Virtual Private Network) * 提供銀行員工非上班時間或企業合作夥伴及關係企業因業務需求連線至資訊單位主機 * Log Management * 採用管理主題方式，將符合同一管理目標之系統日誌資料，彙整到同一套系統。 * 網路型IPS * 主機房防護系統 * 免於未經授權的檢視、複製、修改及刪除 * 主機房內部防火牆系統 * 具備封包過濾網網路服務轉送 * 防毒軟體 * USB設備管理 * 個人電腦軟體授權集中管理 * PC 報廢硬碟集中管理 * 外來電腦管理 * 個資盤點工具 #### 端點個人電腦防護 * AD 身份認證機制 * 目錄管理服務 * 防毒軟體 * USB 外接式儲存設備 * 強化USB裝置管理，依使用者授權進行控管(應該是用AD GPO弄的吧) * PC 軟體授權及憑證管理 * PC 報廢硬碟集中管理 * 內部網路連線控管 * Network Access Control - NAC * 特權帳號管理(Privileged Access Management - PAM) * 很多就是了... ## 銀行資安防護總覽 * 內部網路用防火牆隔離網際網路 * DMZ 有 WAF 到 Web 網站 * IPS 拆分內部伺服器 * 郵件管理 * Log * 安全修補程式 * IP位置管理 * AD Server * WAN 管理 ## 銀行組織 ### 銀行資安管理 * 資安治理 * 資安政策與制度訂定 * 資安作業合規管理 * 各單位查核管理及監督 * 資安推動 * 資安制度推行與落實 * 資安意識與技術提升 * 資安事件應變及演練 * 資安風險 * 資安風險辨識與處理 * 資安弱點處理 ### 銀行資安組織及工作 現在要求IT跟資安部門要分開 * 資安管理委員會 (全行資安會報，每半年召開一次) * 總經理 * 資安長 (資安治理與政策) * 資安部門 (資安維運與執行) * 資安主管 * 資安管理人員 > 銀行局 9/7 發布金融控股公司及銀行業內部控制稽核要資安長 #### 資安小組 * 每季定期招開，評估資訊安全作業，以符合整體資訊作業環境 #### 工作 * 每天 * 核心主機使用者帳號授權檢核 * 使用者代號檢核 * WAF防護 * 系統LOG * 每季 * (可惡太快了) * 每年 ### 銀行資安規範 * 洗錢防制法 * 金融機構運用新興科技作業規範 * 金融機構提供QR Code掃描支付應用安全控管規範 * 金融機構使用物聯網設備安全控管規範 * 金管會資安相關函文 * 個人資料保護法 * ... ### 銀行資安規範 #### 金融機構資訊系統安全基準 * 營運... #### 金融機構辦理電子銀行業務安全控管作業基準 * 交易面之安全需求及安全設計 * 介面之安全設計 * 用戶代號之安全設計 * 密碼之安全設計 * 不應少於6位 * 網際網路應用系統之安全設計 * 載具密碼不應於網際網路傳送 #### 金融機構辦理電腦資訊安全評估辦法 #### 金融機構資通安全防護基準 * CNS 27001 資訊技術 安全技術 資訊安全管理系統 * 十七條! * 資訊安全政策內部組織及資產管理 * 營運環境管理人員 * 個人資料保護 * 機敏資料... * 還有13個...自己查 ## 社交工程定義 ### 利用人心的弱點，騙取信任拿到不當資訊 > 社會都超黑的好嘛 ### 演進 早期用電話或其他非網路方式來詢問個人資料 ### 釣魚郵件攻擊 #### 遠銀 1. 駭客設計攻擊陷阱程式 2. 將攻擊程式埋入電子郵件中 3. 既發電子郵件給目標 4. 受害者開啟電郵 5. 啟動後門程式 6. 逆向連結向遠端駭客(reverse shell 我猜) 7. 然後就滲透了 ## 惡意程式危害 * 惡意程式活動 * 內對外連線至駭客中繼站 * 被操控攻擊其他主機 * 目標為竊取資料 ### 偽造網址或網頁 * 你確定你真的是在 SecTools.tw 上瀏覽我的網站麼？ ### 釣魚郵件種類 * 夾帶巨集程式之文件 * 郵件內容含有圖片連結 * 郵件內容含有文字連結 ### 一銀 ATM 審思 1. 架構區隔 2. 開發測試 3. 交付派版 4. 存取限制 5. 監控警示 6. 汰換計畫 7. 攻防演練 8. 追蹤複查 --- * ATM 端 設置防火牆，以白名單方式設定僅能與 ATM 控制機，防毒SBR、軟派等三個系統連結 * 上述主機安裝「主機防護系統」並加入「內部防火牆」，防止惡意入侵。