.jpg)
網路加速與安全整合服務專家「Netron 網創資訊」與安全電子商務及電子金融服務商「HiTRUST 網際威信」(圖左 Netron 網創資訊執行長李尚修,圖右 HiTRUST 智能產品研發部處長郭淑華)
盜刷、詐騙屢見不鮮,2023年台灣發卡機構詐欺通報金額逼近33億,其中超過98%都屬於「非面對面交易」 。網路加速與安全整合服務專家「Netron 網創資訊」與安全電子商務及電子金融服務商「HiTRUST 網際威信」攜手打造的金融支付雲平台,如何運用AI提升網路交易安全性?
在龐大且危機四伏的交易市場內,金融與電商業者迫切需要安全的交易平台保障品牌形象,並達到快速、穩定的交易。HiTRUST 在台深耕多年,技術橫跨數位金融、資訊安全、電商金流、人工智慧四大領域,所開發的「3DS 信用卡安全驗證系統」是全球第一個拿到 EMV 國際組織認證的產品,一站式金流串接服務 HiTRUSTpay 更穩坐台灣市占率第一。
「我們的支付很早就採用雲端模式,這也是銀行端的期待,因為更加穩定且具有擴充性,並且能減少早期投資。」HiTRUST 智能產品研發部處長郭淑華表示。在七層網路系統架構中,HiTRUST 的專長在於上層的應用層,底層基礎架構及網路層如今則透過與 Netron 網創資訊合作,在 AWS 雲端上架設值得信賴的雲平台。
上雲重點不是一次搬遷,而是長期的「第一時間」力挺
HiTRUST 智能產品研發部處長郭淑華分享,透過 Netron 網創資訊完整的一站式專業顧問服務,提供 HiTRUST 相當大的幫忙。
Netron 網創資訊以資安起家拓展至多雲服務,是 AWS 官方認證的、進階合作夥伴,提供從規劃部署到維運的完整一站式專業顧問服務,並提供資安考照及社交工程的相關教育訓練服務。郭淑華表示:「從前期的規劃到建置、服務運營、後端監控,它是否能給我們最好的支援,這是我們在選擇雲端服務商時最重要的考量,能有一個即時團隊可以支援,對我們而言是很大的幫助。」HiTRUST 過去也曾嘗試過其它平台及服務商,相較之下,網創提供了更好的支援,尤其是 7x24 都由專業工程師提供的維運服務,透過 Line 群組溝通可即時討論、顯示錯誤畫面等相關資訊,第一時間協助 HiTRUST 解決問題。
「地端的經驗無法套用到雲端,在這個部分還是需要信任專業。網創和 AWS 的關係也很緊密,過程中也有 AWS 一起支援討論,對我們提供很大的幫助。」郭淑華說。
完善雲端架構,「安全、穩定、彈性、合規」缺一不可
HiTRUST 提供安全支付服務,雲平台經過 PCI DSS 安全認證,Netron 網創資訊協助 HiTRUST 在 AWS 雲端上以雙AZ架構搭建了5個環境,使用到 AWS 防火牆、ELB、EKS、RDS、EC2、S3等服務,以完善安全防護及資料流通。
Netron 網創資訊執行長李尚修說明,除了安全性,雲端架構規劃還需具有擴充性及彈性,而涉及金融的資安更需兼顧到合規。此外,刷卡交易對於速度及穩定度的要求極高,因此過程中的防火牆及負載平衡等設定、空間儲存、組態設定、預設值調整、加密等方方面面都需要完善規劃,並進行相關驗證,確認可行後才真正執行。同時,網創也正在使用AI技術開發大量自動化工具,未來可以主動監控、即時告警。
李尚修也提醒,在地雲混合或多雲環境中,必須格外注重環境的獨立性和相關的依存性,當一端遭到侵入,另一端仍可安全運行並提供備援,「當地端出現問題,雲端就可以接手。這也是我們在一開始幫客戶規劃的時候就十分注重的細節。」
Veri-id 風險偵測系統 為網路交易再上一重安全鎖
HiTRUST 自數位部 AI 領航計畫中脫穎而出、並獲封2023數位沙盒競賽雙冠王的「Veri-id 風險偵測系統」,就是座落在由 Netron 網創資訊協助搭建的雲平台上。目前電商平台的線上帳戶常見只需帳號密碼即可登入,在駭客眼中仍有不少漏洞可循。Veri-id 則能透過專利技術比對帳號與使用設備、設備環境中的上百種資訊,透過 AI 分析、判別出是否為用戶在進行登入,一旦偵測出異常就能進行阻擋或進一步驗證身份,大大提升交易安全性。最基本的判別是帳號被使用在非慣用的設備、或是在可疑位置連線;又例如太快地敲鍵盤速度、滑鼠移動加速度異常,都可能代表非真人在嘗試登入;或是資訊中顯示使用者模擬出不同設備,且每次登入都使用不同的帳號,就有可能是駭客竊取大量用戶資訊後嘗試獲利,又透過模擬器來躲避追蹤,這些都會被判別為異常。
目前台灣大型電商已首先導入 Veri-id,郭淑華說明:「身為大型電商在資安方面早已投入相當資源,但仍不斷精益求精。原本就在思考相關技術,甚至考慮自行開發,很幸運地 HiTRUST 已經開發出完善的服務,能夠更有彈性、且更快地套用,因此雙方一拍即合」。
Veri-FIDO 無密碼快速身分驗證服務 擺脫密碼安全上網
近期 HiTRUST 還推出全新 Veri-FIDO 無密碼快速身分驗證服務,結合 Veri-id 的功能和 FIDO2 技術,利用公私鑰架構,直接消除密碼,改以指紋、刷臉等生物辨識驗證身份。沒有密碼,也就無需擔心消費者密碼被攔截、騙取或盜用,可以防範近年產生巨量損失的社交工程。且 Veri-FIDO 不受限於過去 FIDO 僅能用於 App 的場域,即使是網站端也能順暢進行,讓消費者以更簡便的方式提升交易安全。
HiTRUST Veri-FIDO 服務也獲得大型旅遊平台「可樂旅遊」的青睞,可樂旅遊今年持續砸重金投資打造「數位可樂」,成為旅遊業第一家使用「FIDO 生物辨識」業者!此外,為積極鼓勵旅人完成設定、提升安全性,可樂旅遊更於9月底前推出抽獎活動,完成快速登入綁定者,就有機會抽中5,000元優惠代碼,為會員打造快速、安全的旅遊數位工具。「可樂旅遊平台 FIDO2 安全驗證計畫」也獲選為今年數位發展部「數位信任場域服務實地驗證計畫」 驗證場域,共同為打詐防詐盡一份心力,建造安心方便的數位生活。
金融上雲時代,資安雙強攜手助攻金融與交易安全性
.jpg)
HiTRUST 和 Netron 網創資訊相互搭配,攜手助攻金融與交易安全性。(圖為 HiTRUST 及 Netron 網創資訊團隊)
「電商的資安面向很廣,不是靠單一軟體或硬體方案就能解決。HiTRUST 和 Netron 網創資訊在上層和底層做出很好的搭配。」郭淑華說。
李尚修進一步補充,電商掌握大量交易資料,最容易成為駭客的目標,尤其網站開發過程中若使用開源程式碼,更有被駭客植入後門的風險。Netron 網創資訊除了從網站開發階段開始就能協助客戶進行符合 ISO27001 及 PCI DSS 等認證的完善資安,也能透過 AI 自動化工具協助客戶進行自動化掃描檢查告警。「尤其在地雲、多元的趨勢之下,工程師要管理的環境太過複雜,提高疏失風險,更需要自動化的流程和工具來協助進行控管。」
此外,李尚修也提醒,當前網站架構很大組成為 API,導致 WAF 更難判別真人和機器人交易,加上網站在歷經改版的過程中,部分 API 可能不再使用卻未撤除,也會形成資安漏洞,這些都能透過自動化工具進行掃描盤點。對於已架設完成的網站,也能運用自動化掃描「健檢」,協助找出資安缺口以進行補強。
隨著金融上雲趨勢成形,HiTRUST 和 Netron 網創資訊也計畫在接下來加深合作,郭淑華指出:「擁有雲經驗與相關配套,現在成為服務金融客戶的優勢之一;此外,當金融端採用雲端,意味著他們在採用新的軟體服務時不用同步添購大批硬體設備,更願意積極導入。」而在雲端環境就仰賴網創科技的專業,從整體架構規劃到權限管理,「非常仰賴網創的專業來協助金融端完善雲端機制,由他們架好從地到雲的雲梯車,我們的應用服務只需要跟著搭電梯上去。」
