金融監督管理委員會日前表示,考量零信任架構涵蓋整體資安防護框架,導入過程不可能一次到位,而金融機構於資安防護均已有一定量能,如雙因子身分驗證、設備健康檢查及網段隔離等;為鼓勵金融機構在既有的基礎上,以零信任思維續深化資安防護,訂定
「金融業導入零信任架構參考指引」,供金融機構參考運用。
金融業導入零信任架構參考指引第4條第1項規定,建議金融機構採風險導向,擇高風險場域為優先導入零信任架構之標的,例舉的場域包含非屬傳統資安防護邊界範圍內的遠距辦公及雲端存取;具備特權或高權限者,如重要系統主機及資料庫等之維運管理、應用系統中的帳號管理員或可接觸大量機敏資料之使用者等;及因應供應鏈攻擊趨勢,對委外廠商或跨機構協作之存取管理。惟高風險場域不以前述例舉為限,得由金融機構依風險基礎方法進行適當評估,擇定其導入優先序及範圍。
在零信任架構的導入策略上,金融業導入零信任架構參考指引第2條、第3條第2項規定,參考美國網際安全暨基礎設施安全局零信任成熟度模型,並依據我國金融業屬性及既有資安防護能量進行調適,區分四階段分級指標,建議盤點高風險場域之完整存取路徑,由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面,參考分級指標分階段導入資安管控措施。
前述分級指標分別是,第一級靜態指標,著重在既有資安防護機制之優化及整合,由關鍵資源存取路徑強化防護縱深。第二級融入動態指標,主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性納為授權審核條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。第三級以即時指標為主,建議整合資安監控機制,於安全資訊與事件管理平台收容及整合資源存取相關事件日誌,對入侵指標或攻擊行為樣態等進行即時偵測、判斷與應處。第四級為最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。