內容摘要
-
證監會(SFC) 要求持牌機構加強應對 AI-enabled cyberattacks
- 重點包括加快漏洞修補及實施補償性控制措施(compensating controls)
- 現實環境中,舊系統與 production downtime 限制 patch window
- AI 攻擊已將漏洞利用時間大幅縮短。
- watchTowr Rapid Reaction 提供非入侵式外部暴露監察,作為有效補償性防護措施。
SFC 將AI攻擊視為重要威脅
香港證監會(SFC) 最新通函明確指出,AI 驅動攻擊已能加速漏洞分析、exploit 開發及攻擊部署。過往需要數週策劃的攻擊,現時可能在數小時內完成。SFC 特別提醒,若機構累積大量未修補漏洞,在 AI 工具協助下,攻擊者可迅速評估與利用弱點,將營運風險大幅提升。
這份通函的附錄中具體提到監控措施及程序示例,除了強調需要加快修補漏洞外,更明確提及:
在修補程式部署周期內實施適當的補償性監控措施,以在部署永久修正程式前降低風險敞口
這一點,對大部分金融機構而言尤其重要。
現實挑戰:追趕縮短的Patch Window 並非想像中簡單
理論上,加快 patch 是最直接的防禦方式。但在實際營運環境中,CISO 及 IT 團隊往往面對多重限制:
- 舊有系統風險高 – 部分 legacy trading system 或核心金融系統,一旦更新 patch,可能引發兼容性問題,甚至影響交易穩定性。
- 運作中系統難以安排停機時間 – 大型券商或電子交易平台,安排系統維護時段往往困難重重,涉及多個部門驗證審批,程序可能長達數週,黑客已成功攻擊。
- Zero-day 無 patch 可落 – 當 exploit 已公開但Patch尚未釋出時,機構根本無法即時修補。
在 AI 加速漏洞利用的背景下,這段「無法即時修補」的時間,正是最大風險窗口。SFC 強調要評估現時的修復時間表是否仍然合適,正是因為:
- 攻擊速度已超越傳統 patch cycle
- 外部暴露面未必完全可視
- Exploit 出現與內部通知存在時間差
watchTowr Rapid Reaction:非入侵式的補償性防護
watchTowr Rapid Reaction 正是一種符合上述監管方向的技術方案 – 尤其是作為漏洞修補週期內的補償性監控措施。
攻擊者視角的外部曝露監察
24/7持續從外部驗證企業對外曝露的資產,當中是否存在已知漏洞或錯誤配置,並從實際攻擊角度驗證漏洞是否真正可被利用,而非停留於理論性的風險評估及排序。
非入侵式部署
無需安裝、無需停機不影響既有應用服務運作。作為漏洞正式修補前的加固措施可快速實施,特別適合對穩定性要求極高的金融交易環境。
更快速回應已知漏洞
當新漏洞公開甚至未公開前、廠商的Patch發佈前,平均只需30分鐘watchTowr已能迅速跟據漏洞利用的實際攻擊行為,提供Rapid Reaction,安全團隊應用至 WAF / IDS / IPS等進行針對該CVE的補償性加固防護。在漏洞正式修補前完成前維持持續防護。
在無法即時修補時,仍然掌握風險主導權 – 這對抗衡AI驅動攻擊尤其重要
證監會的建議非常清晰:AI-enabled 攻擊將持續加速,傳統防禦週期必須重新檢視並加速,但對金融機構而言,任何系統更新、修改等動作都可能帶來風險,在需應付合規等流程要求下,亦不可能盲目加速。因此跟隨證監會建議,其下的持牌金融機構長遠需要檢視整個網絡安全框架,配合AI時代的新攻擊。
其實在AI驅動攻擊猛攻、防禦速度難以跟上時,企業及CISO真正面對的挑戰不是「是否有漏洞」,而是找出實際能被用於攻擊的漏洞,以及在漏洞尚未修補的真空期、以補償性防護維持安全韌性。watchTowr這種持續性的外部驗證能力以及非入侵式的漏洞利用防禦,將是金融機構不可或缺AI攻擊防護工具。
如果想進一步了解AI 攻擊風險防禦策略,歡迎聯絡 Lapcom Limited 專業團隊。
