【TechOrange 編輯部導讀】

近年來，金融科技、數位金融創新議題不斷，各種新技術促使金融服務型態改變，加上金融業原本就是高度利用資訊科技的產業，因此需要更加重視資安風險議題。

而隨著 AI 技術日漸成熟，如 ChatGPT 的落地應用，網路攻擊在 2023 年也將愈演愈烈。一起來看，金融業面對哪些新挑戰，以及該如何布建資安防護策略。

近期 iRent 承認資安出現危機，讓 40 萬用戶個資面臨外泄風險，引發大眾對於企業資安的討論，為何近年資安狀況頻傳？

根據 Check Point Research 發布的最新網路攻擊趨勢報告指出，2022 年全球網路攻擊年增率高達 38%；台灣各組織平均每週遭受 3,118 次攻擊，年增率為 10%，其中遭攻擊次數最多的產業分別為金融與銀行業（4,664 次），其次為製造業（3,705 次）及政府與軍事機構（2,884 次），針對金融業的網路攻擊年年增加的趨勢之下，該下重兵把守的防護策略又該如何布建？

金融業開發新功能的速度，遠遠超車資安防護

全球的金融業皆是受到最高規格的法規監管的產業，但隨著各式各樣的金融服務開始興起，銀行與第三方廠商的合作大開，與這些廠商合作的過程中也都會帶來額外的網路資安風險，例如與消費者最相關的「網路無現金金融服務」中，每一次的交易行為背後會帶來新的資安危機。

但為了讓使用者便捷快速地使用，金融業者需要一邊快速提升功能的體驗與便利性，另一邊又得同時符合最高資安規範，讓組織面臨不小的內外壓力。

因為開發速度和安全性往往會呈現反比，讓 DevSecOps（development, security, and operations 的簡寫）概念開始興起，因為在 DevSecOps 開發環境下，所有流程的資安配置與檢查都將自動化、模組化與標準化，讓軟體開發過程中的每個階段都能整合安全性。但要執行 DevSecOps 也並非易事，除了 DevSecOps 的環境、雲端、微服務架構都和傳統的不同，說服內部開發人員轉移到 DevSecOps 開發環境的過程也極為容易受阻。

除此之外，業內資安專家必須時時刻刻學習最新的防護技術也是挑戰之一，Check Point Research 報告指出，隨著人工智慧技術發展快速、勒索軟體不斷演變，衍生出的駭客攻擊也將愈演愈烈。

防駭技能增進，更要預防內鬼！

除了外部的資安攻擊與威脅，金融業的資料外洩問題更有可能是內部人為所造成，2019 年美國西雅圖就發生了有史以來最嚴重的銀行資料外洩事件，造成一億多人的銀行資料被駭，該犯罪者即是銀行資料託管商內部的工程師。

此外，社交網路上也開始有許多惡意人士刻意與金融機構內部人員培養建立關係，再利用其信任來進行詐騙與資料竊取。其它老套的方式例如釣魚網站、引誘員工下載不明軟體等伎倆雖然屢見不鮮，但依然能造成傷害。

這類人為造成的漏洞目前最好的解法就是增加內部人員的資安意識，一般職員能定期宣導與教育訓練，金融的資安工程團隊則可以規劃紅藍軍對抗演習，用「以戰代訓」來提升安全防護能力，並找到隱藏的網路漏洞。

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：金融與銀行業平均每週遭受 4,664 次網路攻擊，如何強化資安免疫系統？