關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 資安管理
顯示分類
2025.11.07
標準與框架/資安管理
從桌面推演到統包工程:建構金融服務領域的網路韌性
從桌上演練到一體化實戰平台:金融服務業建構網路韌性

金融機構正面臨新的現實:網路韌性已從最佳實踐轉變為營運必需品,再轉變為強制性監管要求,隨著一系列法規的出台,危機管理或桌面演練已成為必要之舉。這一轉變不僅是流程上的調整,更是資安策略從被動防禦到主動實戰準備的根本性變革。面對日益複雜且國家級支持的網路威脅,傳統的年度資安審查已無法滿足要求,取而代之的是需要融合技術與人員協作的綜合性演習,以確保組織在遭受重大網路事件時能夠維持關鍵業務運營。

 

網路韌性的監管浪潮與強制要求

當前,全球金融監管機構對網路韌性的要求正變得越來越嚴格且具體。這些法規在多個地區對金融服務機構(FSI)提出了這項要求,包括歐盟的《數位營運彈性法案》(DORA)澳洲的《網路營運彈性情報主導演習》(CPS230 / CORIE)新加坡金融管理局的《技術風險管理指南》(MAS TRM)英國的《金融行為監理監理監理委員會》(Pili)美國的《聯邦金融機構審查委員會資訊科技手冊》(FFIEC IT Handbook)以及沙烏地阿拉伯的《沙烏地阿拉伯金融管理局網路安全架構》(SAMA Cybersecurity Framework)

這些法規,特別是基於TIBER-EU框架的DORA和CORIE,強調了技術和非技術團隊之間的跨職能協作,要求在相同的網路韌性計畫和背景下,進行紅隊模擬(Red-teaming)等技術層面的事件模擬。這意味著單純的危機管理演練已不足夠,必須將技術性入侵與攻擊模擬納入考量,以確保偵測與應變控制措施的有效性。

 

傳統桌面演練的局限與演進

隨著要求變得越來越具體,最佳實踐越來越成熟,過去那種由一個簡單的 Excel 文件驅動的桌面演練,其中包含一系列事件、時間戳、角色和評論,已經發展成一系列場景、腳本、威脅形勢分析、威脅行為者概況、TTP 和 IOC、威脅報告文件夾、黑客工具、注入和報告——所有這些都必須每年至少演一次,甚至每季進行分析、持續一次演示和報告。

傳統的Excel表格在面對如此高複雜度和多維度數據的要求時,其極限顯而易見。金融、資安和治理、風險與合規(GRC)部門雖然習慣使用Excel,但在需要整合技術警報、危機溝通郵件、即時角色同步以及演習後審計報告時,單純的電子表格已無法滿足效率與準確性的需求。

 

融合技術與人際溝通的實戰平台

為了應對監管與實戰的雙重挑戰,新一代的對抗性風險管理平台應運而生。過去幾年,Filigran不斷推進OpenAEV的發展,使其能夠設計和執行融合人際溝通與技術事件的端到端場景。 OpenAEV 最初是一個危機模擬管理平台,後來整合了入侵和攻擊模擬功能,如今已發展成為一個全面的對抗性風險管理平台,具備評估技術和人員準備的獨特能力

將這兩種功能融合到一個工具中有很多優勢。首先,它極大地簡化了場景準備。在 OpenCTI(一個威脅情報平台)中進行威脅態勢研究後,可以利用相關的情報報告,不僅能夠根據攻擊者的戰術、技術和程序 (TTP) 生成技術注入,例如模擬勒索軟體加密警報,還能獲取攻擊者通信、第三方安全運營中心和託管檢測與響應 (MDR) 通信以及內部領導層通信等內容,這些內容均基於同一報告中的情報和時間信息構建。當模擬勒索軟體加密警報緊隨其後的是困惑用戶發來的電子郵件時,模擬場景的真實性會顯著提高。

演練物流與持續改進的單一工具優勢

使用單一工具 OpenAEV 還可以減少演習前、演習中和演習後的後勤工作。演習中的「參與者」(包括其團隊和組織單元)可以與企業身分和存取管理 (IAM) 系統同步,這樣,演習期間技術事件警報的接收者、桌面組件模擬危機郵件的接收者、演習結束後立即收到「快速審查」(hot wash)自動回饋問卷的接收者以及最終審計報告中的出現者都相同。OpenAEV能夠從多個身份來源同步參與者和分析師的最新詳細信息。

如果在吸取教訓後再次進行同樣的練習,作為 DORA 和 CORIE 要求的可證明的持續改進的一部分,那麼這種同步將維護這些角色人員的最新聯繫人列表,或者,實際上,維護備用電話樹和帶外危機溝通渠道的最新聯繫人列表,以及 MSSP、MDR 和上游供應鏈提供商等第三方的聯繫人列表。這種對物流的精簡,使得準備時間更短,模擬頻率得以提高。

 

模擬的彈性與深度

對於剛開始實施桌面演練和紅隊情境的組織,可以採用更為謹慎的分階段方式。最典型的方法可能是第一天進行紅隊模擬,以測試偵測和預防性技術控制,以及安全運營中心(SOC)的應變流程;然後在第二天進行桌面演練,此時可以根據技術演習的發現和時間線對桌面情境進行調整。

更具挑戰性的是,模擬可以排程並運行更長的時間,甚至持續數月。這種機制允許自動化和管理更複雜但卻真實的場景,例如提前在主機上留下入侵跡象,並挑戰 SOC、事件響應(IR)和威脅情報(CTI)團隊的能力,要求他們從歸檔中檢索日誌,以搜尋「零號病人」(patient zero,即第一個被入侵的系統)。這種在單日模擬中難以實現的真實挑戰,在延長期的模擬中卻可以有效管理,而這正是現實中常見的要求。

 

實戰演練的最終價值

除了監管要求、保險條件、風險管理和其他外部因素之外,能夠簡化針對當前相關威脅的攻擊模擬和桌面演練,並實現所有相關的技術整合、調度和自動化,意味著您的安全、領導和危機管理團隊將培養肌肉記憶和流暢的工作流程,從而增強組織在下一次危機發生時應對真正危機的能力。

這種「肌肉記憶」的建立至關重要。當團隊對危機情況下的角色、流程和工具操作了如指掌時,危機就不再是單純的危機,而是一個可預期和可管理的事件。

OpenAEV 作為一個免費供社區使用的工具,提供了一個包含常見勒索軟體和威脅情境的庫,以及與 SIEM 和 EDR 的技術整合,加上其可擴展的開源整合生態系統,為全球組織提供了一種提升網路防禦、增強網路韌性和確保合規性的有效途徑。通過將監管要求轉化為可操作的韌性策略,金融服務業能夠從被動合規轉向主動實戰準備,從而真正提升抵禦和克服數位威脅的能力。


資料來源:https://thehackernews.com/2025/11/from-tabletop-to-turnkey-building-cyber.html
 
分析了在DORA、CORIE等強制性監管要求下,金融機構如何從傳統的桌面演練轉向融合技術與人際溝通的對抗性風險管理平台。