安華聯網提出APP與SWIFT CSP合規建議 助力消弭FinTech資安風險
手機APP資安檢測 範圍已擴及OWASP Checklist L2 項目
楊士賢顧問表示,早年網際網路不發達,金融作業環境處於封閉網路,安全風險相對輕微;反觀今日金融交易,銀行可掌控部份,僅剩下自家後端資料庫和交易系統,前端已被智慧型手機APP取代。主管機關意識到其中的安全疑慮,要求所有金融機構須將APP交由第三方合格實驗室執行檢測,以確保其安全性。合格實驗室會引用行動應用APP基本資安檢測基準為檢測作業依據進行安全檢核。
值得一提,主管機關頒佈的最新版「金融機構提供行動裝置應用程式作業規範」,本次改版重點針對第9條修正,除規範金融機構提供客戶使用之APP每年應接受基本檢測,並對相關應用程式暨伺服器執行源碼掃描或黑箱測試外,還新增要求需通過「OWASP Mobile APP Security Checklist L2」的規定。
該Checklist L2涵蓋8大環節,不同於以往著於重行動應用APP本身的安全為例,在第一項便要求行動應用APP在開發過程需進行架構、設計及威脅建模分析,對於行動應用APP安全要求嚴格程度顯著提升。
顧問表示,金融機構指派窗口人員向實驗室遞交檢測資料時,由於不熟悉「架構、設計及威脅建模分析」內容,對資料提供經常陷入「束手無策」之窘狀。有鑒於此,安華聯網除了提供檢測服務外,亦會藉由顧問團隊進行Threat Modeling分析教學,協助客戶釐清相關疑惑。安全的應用程式開發流程是在撰寫APP前先進行系統分析以釐清安全要求,再依細部規格進行開發;若省略安全分析作業,則MSTG-ARCH-6「行動應用程式和相關遠程服務的威脅模型已經制定,以識別潛在的威脅和對策」,便難以符合。
事實上Thread Modeling相近於傳統結構化分析的資料流程圖Data Flow Diagram, DFD),唯一差異在於多出「安全周界」。安全周界意指可控、不可控中間的那條線,只要有資料流穿越安全周界,即需分析每一種可能發生的風險,以確保APP相關風險受到關注。
市場上有部分工具可針對行動應用APP執行OWASP Mobile Top 10掃描,但OWASP Mobile Top 10與Checklists L2內容仍有差異,另因法規明定須將APP送交合格實驗室進行檢測,最終需以實驗室出具的檢測合格報告為依據,有程序上的嚴謹性。然而這不代表工具無用,工具仍可作為金融機構內部自行先期自行檢測之用。
依循五步驟 推動SWIFT CSP合規評估作業
SWIFT「客戶安全計畫」(CSP)是一個每年更新的規範,不少金融機構並不清楚如何達到合規要求。SWIFT是一個國際性的金融協會組織,其系統允許銀行與銀行間相互認證、進行外匯交易、額度風險控管等機制,後續會員型態轉型,允許具有大量跨國交易需求的企業組織也加入會員,方便會員間外匯交易的進行,卻因系統安全漏洞,意外衍生2016年轟動全球的偽冒交易事件。
為提升交易安全,SWIFT於2016事發當年立即公告安全指引、也就是CSP安全框架。初期SWIFT允許各會員自行辦理CSP安全評估,但從2021年起,須由獨立第三方來執行安全評估。換言之,此後SWIFT會員需由第三方評定CSP控制架構(CSCF)的合規成效,自評模式很難再取信於交易對手。
每年7月SWIFT會公布新版新年度的CSCF文件。綜整2020~2022年CSCF當中的必要項目,從21、22逐步增至23個,也開始針對不同資訊系統架構區分要求的項目;因此即便項目數量僅微幅增加,但內容變得更加嚴格。顧問歸納,如欲進行SWIFT CSP合規評估作業,通常以確認「安全控制範圍」作為第一步;其次是「確認CSCF適用版本」,因SWIFT未強制規定採用最新版,即今年7月公布2023年規範,但仍接受選用2022年甚或2021年版本。第三步為「執行SWIFT CSP安全評估作業」,第三方獨立評估者採用SWIFT制式查核底稿(查檢表),依該表所列項目逐一進行填寫。待完成細項評估後,即進入第四步「向SWIFT提交CSCF Assessment Completion Letter」。最後,彙整安全評估報告及填寫KYC-SA問卷,最終完成並結案。
總括而論,隨著近年上市櫃公司遭駭事件頻傳,已使多數企業備感壓力,急欲有效盤點安全漏洞、加速掌握防禦趨勢與資安策略,以提高金融交易的安全防護力。為此,安華聯網可憑藉通過多項認證的合格實驗室,協助企業執行FinTech APP、SWIFT CSP等重點業務項目的安全檢測,若有必要還能搭配提供顧問服務,針對各項檢測標準的內涵加以釋疑;期望幫助企業取得國內外證書,也一併優化調整金融交易系統的安全體質。