資安防禦再晉級，從行為找異常發現潛在風險|專案經理雜誌

首頁

生活時事

資安防禦再晉級，從行為找異常發現潛在風險

資訊安全

專案管理

惡意程式

2019/2/1 作家：專案經理雜誌

3716

文／台北富邦商業銀行股份有限公司

本專案名稱為資訊安全管理平台專案
在金控資安政策及資安管理運作下，全行於2017年開始建置惡意程式偵防平台，專案團隊使用以色列廠商之資安產品，透過機器學習自動化分析與偵測，主動找出進階滲透攻擊(APT)與惡意程式，達到主動防禦之目的。從以往單一蒐集資安日誌，強化為兩項互補的資安監控防禦機制：

‧從行為找異常：利用機器學習自動化分析與偵測目前具有針對性、進階滲透攻擊(APT)與惡意程式。

‧從事件找異常：蒐集各系統日誌，關聯偵測與分析內外部資訊安全事件，確認系統使用與網路連線，並可輔助事件調查與警示攻擊事件。

面臨的挑戰
據統計，2016年全球發生4億3千萬起資安事件，新的惡意程式、魚叉釣魚攻擊增加55％，加密勒贖軟體增加35％，2016年發生一銀ATM吐鈔事件及2017年遠銀SWIFT匯款等資安事件議題，引發金融單位對資安高度重視。

目標策略
本行於2017年引進新一代資訊安全管理平台暨惡意程式主動檢測，成為全台第一家導入具惡意程式主動檢測及鑑識功能於資安平台的金融單位，預期達成下列資安防護目標：

1.自動化分析：主動偵測具有針對性、未知的進階滲透攻擊(APT)以及惡意程式活動，與資訊安全管理平台(SIEM)互補，達到資訊安全縱深防禦。

2.數位鑑識：透過鑑識主機記憶體及相關網路活動，偵測出可疑中繼站連線之程式及找出潛藏於內網的駭客據點。

3.主動關聯：分析相似攻擊告警，更精準判斷資訊安全事件，降低人力消耗，可快速分析與回應，化被動為主動。

影響範圍
本專案需要安裝數萬台的設備，且參與的單位橫跨本行資訊部門，參與專案的人員高達百餘人。因所有安裝的設備均為本行營運中的系統，如果專案執行過程發生異常，將會影響本行客戶的權益且會引起主管機關的關注。

1. 本專案資安主動防護範圍由本行總行擴及亞太區分公司（含新加坡、香港、越南等）及全台SWIFT設備。縱深防禦亦包含金控轄下所屬BU（金控、銀行、人壽、證券、產險、投信行銷等）。

2. 具體做法由被動／分散管理（分公司自行管理及處理事件）轉換成主動／統籌控管（總行統一監控，如發生事件，將主動通知並協助海外分公司處理）。

專案管理
本專案依據公司年度計畫編列的預算獲准執行後，由專案贊助者(PS)授權專案經理成立專案，依據專案章程組織專案團隊。在運作專案時，針對專案內不同角色進行專業分工（如下一頁的專案組織圖），專案成員均來自組織內不同單位，透過清楚定義各自的執掌與權責，專案能依此劃分成員之角色與責任(R&R)，各司其職。

專案規劃期間已明定專案各階段之交付標的。專案執行階段時，專案經理依據專案成員回報之系統安裝進度（工作績效資料），定期監控分析專案執行的進度及完成比率（工作績效資訊）。依據專案溝通管理計畫，每周與專案成員及相關利害關係人進行溝通協調，共同討論解決方案並進行專案工作績效報告。

當專案遇到困難時，專案組織內成員皆透過專案監控階段所訂定之偏差界定、以及專案規劃階段所訂定之專案溝通管理計畫進行溝通協調，共同討論解決方案，並呈報專案贊助者及決策委員會核定（如圖1-2的專案組織圖），以此建立落差矯正與預防措施，並持續監控專案執行落差矯正狀態，直至落差矯正完成。

實際成效
透過兩道資安防禦機制，達成下列成效：

「從行為找異常」的實際管理成效：
降低反應時間：原人工現場數位鑑識惡意連線行為需耗時至少一週(Weeks)，提升為即時的平台自動偵測惡意程式(Hours)提供告警。

降低更新周期：原人工分析辨識取樣惡意程式後送實驗室檢測，至少耗時8小時，透過智能學習，特徵碼（含行為及中繼站資訊）系統直接自動更新，大幅縮短為20分鐘。

「從事件找異常」的實際管理成效：
降低警訊及事件的誤判，如：原人工逐日逐條調查740條告警，上線後限縮專注於14個事件即可。
降低資安中心(SOC：Security Operations Center)調查時間：針對每一事件調查日數由5天大幅縮短為1天以內。

如期、如質、如預算完成專案
專案範疇為數萬台設備佈建，專案規劃時程為300天，為求快速反應執行成果，依據工作內容以10天為一工作階段。

於進行前導(Pilot)上線後，以3個星期為一周期，同時進行三個周期的快速部署佈署導入，透過自動化佈署，原訂120天完成所有端點部署，於90天內完成部署佈署驗證，精省專案時程共30天。

專案結束後彙整專案文件於專案文件專區，作為後續公司內部知識的分享。並由專人進行專案滿意度衡量，目的在於期望由成員的回饋中獲得任何改善的機會，並藉以精進專案管理制度或專案管理之操作手法。

獲獎肯定
本專案亦勇奪2018年《亞洲銀行家(The Asian Banker)》金融科技創新獎之Best Cybersecurity and IT Risk Management Initiative, Application or Programme殊榮，為台灣唯一獲獎的金融機構！

在數位金融時代，資安攻擊事件愈來愈複雜，如何防禦與管理更顯重要，未來將持續整合傳統封包檢視、端點鑑識與新型機器學習的技術，強化資安人員多元技能，並透過金融業的聯防合作，強化資安等級，讓客戶更安心使用本行各項數位金融服務。