為防堵攻擊者利用員工電腦為跳板滲透進入內部網路釀成資安事故,第一銀行借鏡國際間銀行同業經驗,引進Citrix Virtual Apps and Desktops建立虛擬隔離上網,讓員工得以在安全無虞環境中執行工作任務。
自從2016年第一銀行爆發ATM盜領案之後,資安防護力即成為高階管理層首要關注的項目。第一銀行數位安全處處長張晉榮不諱言,在ATM盜領案發生後,讓銀行業對於資安前所未見的重視,控管也更加嚴格。「數位安全處在2016年剛成立時,就積極募集專業人才,我們算是業界較早成立資安單位的組織,而且與資訊部門完全切割,制訂的安全規範完全是從資安角度評估。」
外部威脅滲透入侵主要是針對員工工作使用的電腦系統,不外乎利用惡意網站或是釣魚郵件夾帶病毒執行滲透。為了讓員工安全上網,又不耽誤業務工作,有些企業規畫在專屬區域才可操作,問題是最後資料還是得在個人電腦上開啟,仍舊會有安全方面的疑慮。對此第一銀行開始在國際間尋找可行性作法,發現日本、新加坡等地區,已有銀行業部署虛擬隔離上網,只是在台灣尚未有實作案例,第一銀行決定引進,尋找相關廠商進行評估,最後採用Citrix方案。經過兩年部署已正式上線,成功達到專案計畫的目標。
為了避免影響到員工日常操作習慣與運行效能,反而引起反彈,部署專案分為兩階段實施,初期先選擇三個單位試行,確定員工可以接受,操作方式沒有太多改變,再逐步推廣。並且在設計規畫時,為了讓員工感受不到虛擬隔離上網的差異,對外連線存取行為才啟用,並且以顏色標註輔助辨識。
除了導入虛擬隔離上網,本次部署還包含檔案清洗(CDR)技術,避免員工從外部網站上下載的檔案中夾帶惡意程式,技術供應商必須運用虛擬上網與檔案清洗技術,整合到內部工作流程,並且控管機制要讓員工都得以接受,經過評審委員會決議,認為Citrix較符合期望。
只是國內未有實際導入案例,第一銀行為首例,實際上承受的風險較高。另一方面,資安單位的預算本就有限,欲取得高層的支持,金管會的監督可說是相當大驅動力,尤其是第一銀行屬於公股銀行,更加得嚴格把關。張晉榮指出,在董事會中提出專案建議時,首先說明的是資安防護必須從駭客的角度來看,而非ISMS(資安管理系統)。就駭客慣用的狙殺鏈來看,各種階段的攻擊活動執行手段,風險較大的環節,包含員工電腦、應用伺服器、第三方合作夥伴等,此專案首要解決的是員工電腦。
第一銀行數位安全處處長張晉榮強調,資安防護必須從駭客的角度來看,而非ISMS(資安管理系統)。有了虛擬隔離上網,即使員工安全意識不足誤觸陷阱被植入惡意程式,也無法被遠端操控。
推動虛擬隔離上網專案,目的並非控管上網行為,而是把員工電腦對外連線全部關閉,即使員工安全意識不足點選釣魚郵件被植入惡意程式,也無法被遠端操控,自然也就無法橫向擴散或執行加密勒索。由此方向切入,較有助於說服高層並且取得認同。