供應鏈攻擊是一種新興威脅，駭客鎖定軟體供應商後，找尋漏洞並感染軟體，而軟體本身因為是合法且受信任，在供應商也未偵測到入侵的情況下，將帶著病毒的軟體提供給使用者使用，惡意程式碼將藉此傳播，從政府單位、金融業、一般企業都曾遇過類似手法的入侵。

這也顯示現在的駭客不僅擅長突破防護，隱匿能力也很高明，防毒軟體與企業較難發覺其應用程式已遭感染，常常造成龐大損失。金融業在資安維護上尤其重要，今天馬克來介紹今年二月國內金融科技的新式供應鏈攻擊事件，與金管會對此事件的相關處理方式。

駭客攻擊事件

隨著金融業者力推線上轉型開放更多線上服務權限，駭客攻擊也層出不窮。去年11 月，國內多家證券商與期貨商遭受駭客撞庫攻擊，導致下單系統異常；今年2 月，金融單位進入第二波駭客入侵高峰期，研究團隊以「咬錢熊貓」（operation cache panda）作為這次行動代稱。參與調查的台灣AI 資安新創公司─奧義智慧表示，攻擊者IP位於香港，使用QuasarRAT 的後門程式，目的可能為竊取我國金融單位內部資料，與去年11 月為相同攻擊者，為中國國家級的駭客組織APT10。

註：APT（Advanced Persistent Threat）中文為進階持續性威脅，簡單來說針對特定組織進行複雜且多方位的網路攻擊，可能包含資訊與人員情報蒐集，持續時間從幾天、幾周、幾個月到更長都有。

事件過程

奧義智慧表示，這次攻擊可能利用特定金融軟體系統網站服務漏洞，是金融機構的供應鏈攻擊：先用漏洞取得主機控制權，植入滲透程式，並竊取資料，不僅能夠掩藏入侵行蹤、還能降低防毒軟體偵測機率。這一波事件集中發生在2 月 10 日到 13 日之間，受害單位多為主要證券商、基金平台等高市佔率的金融機構產品，預計受波及範圍廣。

事件特點

跟以往來自中國的APT相比，這次行動跟以往有些不同的地方：

1. 以往APT較少經濟獲利目標，但這次明確盜竊金融資料。

2. 高度使用DotNet 惡意程式，用來隱匿行蹤。

3. 使用2021 年 10 月才釋出的新型攻擊技術「reflective code loading」。

這次攻擊工具跟供應鏈滲透手法為國內首見，奧義智慧科技創辦人也呼籲各金融單位修補供應鏈漏洞與清除後門木馬。

金管會金融資安措施

金管會近幾年制定許多金融業資安要求，堅定表示要將資安煞車配套措施完整建立，金融機構才能放心改革與創新。

1.設置專責單位和副總層級資安長

2020年金管會要求30多家金融機構與純網銀設置資安長，使企業提高資源比例到資安維護，從組織上層層把關，培養企業資安意識。此政策在今年三月正式達標，金控、銀行、營收兆元保險業者以落實，證券分級進行。目前將進一步推廣至上市櫃公司。

2.上下資源聯防

設立不同層級資安應變小組，當旗下機構發生資安事件，上層有能力分享資源支援旗下資安能力較弱的機構。跨產業也可採用，銀行公會、證交所、金管會由上而下層層協助。金管會也成立數個金融資安中心，以官方角色陪伴金融業者面對資安事件。

3.金融業專屬IT系統安全設定

金融資安監控中心推出金融業專屬的系列IT 系統安全設定，供金融業者參考使用。以加強的資安防護、分享跨產業資安事件、定期攻防演練、業者教育課程等措施，期望達到未雨綢繆的功效。

金融資安未來方向

1. 加強資安韌性

資安韌性（Cyber Resilience）代表對使用的網路資源、壓力、外部因素影響時，恢復、適應的能力，例如駭客攻擊、國際情勢變動、停電等都有可能影響到資安，從公司永續發展來看資安防護也是不可或缺的一塊。

金管會為了確保足夠復原力，要求金融機構分成核心業務的本地備援和次要業務的異地備援，並鼓勵業者定期交換兩邊執行業務，在發生問題時才能讓業者快速切換。如證券市場每半年會進行一次測試，將重點業務接至備援單位執行，建立交易所的資安韌性。

2. 供應鏈風險新規範

金管會預計將在年底揭露供應鏈風險的新規範，參考美國軟體供應鏈的作法，其中包含政府採購中要求軟體供應商提供軟體材料清單（SBOM），可想像程軟體版本的食品營養成分標示，讓企業了解軟體所有相關元件，降低供應鏈風險。

結語

隨著政府單位的積極投入，加上企業跟軟體供應商的配合，期望以「超前部署」的態度面對瞬息萬變的科技世界，在方便先進的金融科技發展下，也給使用者一個安全信任的環境。