近年來,隨著資安攻擊頻頻瞄準大型機構,美洲開發銀行(Inter-American Development Bank,以下簡稱 IDB)率先分享如何主動出擊,防範威脅於未然。每當新聞報導某某企業遭駭時,民眾不免擔心:「下一個會不會輪到我?」用過網銀的人都知道,銀行的資安防護一向嚴密,但近期一連串資安事件,仍再度引發社會關注與不安。2025 年四月,美國通貨監理局(OCC)爆發重大資安事件,導致員工郵件中的敏感資訊外洩;同一時期,澳洲四大銀行也傳出超過百組員工登入憑證遭竊,讓人不得不正視資安事件的普遍性與潛在威脅。
IDB 紐約分行的副總裁暨應用安全與弱點管理主管 Beatrice Sirchis 強調:「唯有提前整合偵測、自動化及業務策略,才能真正搶先一步,防範風險發生。」她所帶領的資安團隊負責銀行內部所有系統的應用程式安全,包含地端及雲端環境。Sirchis 表示:「每個上線的應用程式都必須經過我們團隊的資安審查,包括程式碼掃描、網頁應用程式掃描、API 安全檢查,全面把關應用安全。」
她一手打造的弱點管理計畫,是各項資安工作得以順利運作的基礎。在完成導入前,IDB 也面臨許多常見的挑戰,如:系統配置錯誤、密碼管理鬆散、使用者與帳號管理不一致等。她表示:「我們必須掃描程式碼漏洞、檢視應用程式管理流程,並涵蓋所有環境,包括正式環境、測試環境、預備環境(pre-production)等。」銀行系統在法規高度管控的混合 IT 環境中運作,團隊肩負重任,既要持續追蹤每個資產的資安及 IT 代理程式是否安裝正確,還得定期向跨部門主管彙報各項 KPI,時常忙得分身乏術。
現在,透過自動化掃描工具的導入,以及資安與開發團隊的緊密合作,IDB 成功建構了明確的資安框架,不僅提升效率,也大幅減少人力負擔,讓整體營運事半功倍。
讓 IDB 成功進行數位轉型的關鍵推手之一,是 Qualys 的資安資產管理工具(CSAM)。Sirchis 發現 IDB 雖然早已部署這套工具,卻一直沒有加以善用。當她參考了 Gartner 的建議後,發現 Qualys 在弱點管理領域的評價非常高,於是便立刻著手重新設定與啟用,讓 CSAM 成為 IDB 應用程式安全與整體風險控管的核心工具。而導入後的成果也相當令人滿意,Sirchis 表示:「現在我們對所有應用程式的弱點都有 100% 的可視性。由於能在開發初期就發現問題,正式與非正式環境中的弱點數量已經減少了約 80%。」
金融業如何落實資安防護
對金融機構來說,隨著基礎架構規模日益擴大、走向雲端原生化,如何有效擴展弱點管理仍是一大挑戰。
IDB 在導入 Qualys CSAM 後,資安團隊已能全面掌握地端、雲端,以及對外服務系統的資產狀況,並可主動管理技術債(Technical Debt),持續進行風險評估。Sirchis 分享他們的實務流程:「我們會先進行一次完整的掃描,將結果與團隊分享,接著再重新掃描一次,確保所有高風險及重大弱點都能在應用程式上線前修補完畢。」「上線至正式環境後,我們也會根據應用程式的風險等級和曝險程度,定期使用不同的掃描設定進行檢查,持續掌握安全狀況。」Sirchis 強調,這樣的流程讓資安維護變得更精準,也更有效率。
貼近使用者需求的弱點管理報告
在這個弱點管理計畫中,IDB 團隊特別針對已知的高風險漏洞設計掃描設定(如 Log4Shell 和 Spring4Shell),也會主動檢查對外應用程式是否有暴露個資(PII),降低用戶資料外洩風險。Sirchis 特別強調, Qualys 的報告非常貼近使用者需求:「這些報告不單只是把漏洞條列出來而已,還會解釋問題是什麼、該怎麼修,這對開發人員來說非常重要,畢竟他們通常不是資安專家。」
自動化大幅提升資安效率
另一項讓整體維運效率大幅提升的關鍵,就是修復流程的自動化。IDB 將 Qualys 與 ServiceNow 平台整合,讓每個漏洞能自動分派給相對應的應用系統或基礎架構負責人,減少人工介入的時間與錯誤。成效有多驚人?根據 IDB 的統計,平均修復時間從 30 天縮短到 1 至 2 天,同時也節省了超過 80% 開發與資安團隊花在漏洞管理上的時間。Sirchis 表示:「現在不論是修補漏洞,還是向高層主管回報資安現況,我們的報告都能客製化且自動產出。」
持續進化的平台,讓資安更全面
資安攻防從來無法停下腳步,工具自然也要不斷進化。Qualys 最近新增了軟體組成分析功能(Software composition analysis, SCA),能偵測 Java、.NET、Node.js 等第三方函式庫的漏洞,補足過去難以掌握的死角。Sirchis 表示:「我們已開始測試這項功能,從中發現不少以前沒察覺的漏洞及問題,幫助我們快速修復。」
面對持續演進的資安威脅,Sirchis 也規劃了下一階段的重點方向:
- 將軟體組成分析(SCA)正式納入日常的安全檢測流程,以便在開發初期就掌握第三方元件的安全狀況。
- 進一步整合網頁應用程式掃描(WAS)和 ServiceNow 平台,讓所有的應用程式漏洞,都能「一鍵指派」給對應的負責人,徹底實現自動化漏洞分派。
- 進一步強化 API 資安防護。API 是目前的主要攻擊途徑之一,尤其涉及大量敏感的客戶資料,更是駭客鎖定的重要目標。
更靈活、高效的資安轉型
對於高度依賴數位服務、又受到嚴格監管的金融機構而言,資安早已不只是「合規」問題,更是攸關客戶信任與營運韌性的核心競爭力。IDB 的實務經驗,正是一個值得借鏡的資安轉型範本。
從導入自動化掃描工具強化偵測效率、到整合 ServiceNow 建立漏洞派工與追蹤流程,IDB 更進一步部署 SCA(軟體組件分析) 與 API 安全防護,逐步打造出一套靈活、可追蹤、可量化的資安管理架構。他們的弱點管理計畫,不僅完整而全面、大幅提升營運效率,更能有效因應現代金融服務的趨勢與風險。
IDB 的核心策略是:「讓資安不再是事後修補,而是從開發第一天就開始防守」。透過資安的自動化、流程化、日常化,讓資安防護成為企業的競爭優勢。
對金融業者而言,這不僅是一套工具導入的流程,更是一種思維轉型的開始。
參考來源:Tech Informed
關於 Qualys
Qualys, Inc. 是基於雲端安全和合規解決方案的先驅和領導供應商,在全球 130 多個國家擁有 10,000 多個訂閱客戶,包括富比士全球 500 大及財富 100 強中的多數企業。Qualys 協助組織在單一平台中簡化、整合其安全性和合規性解決方案,並將安全性構建到數位轉型計畫中,以實現超高的靈活性,並讓企業將安全提升至新的高度,同時為企業省去大量成本。