Contact us:
你的金融機構每年都通過網絡安全演練,合規報告也都齊全。但當真實攻擊來臨時,你的團隊真的準備好了嗎?
近年來,香港金融監管機構逐漸意識到一個關鍵問題:通過Checklist不代表具備真實應對能力。這就是為什麼金管局在CFI 2.0中強制要求中高風險銀行進行威脅情報驅動攻擊模擬測試(iCAST),保監局也在GL20中引入類似的TIBAS(Threat Intelligence Based Attack Simulation)要求。
本文將深入分析:
- 傳統Checklist式演練與真實攻防的本質差異
- CFI 2.0 / GL20如何定義「網絡韌性」
- iCAST的五階段流程與實施要求
- ALFARIA Cyber Range如何協助團隊準備真實攻防演練
監管框架參考:HKMA - CFI 2.0公告(2020年11月)、保險業監管局 - GL20網絡安全指引(2025年1月生效)
一、合規與韌性之間的差距
什麼是「合規導向」的演練?
在傳統的合規框架下,金融機構的網絡安全演練通常遵循以下模式:
Checklist式檢查
根據監管要求逐項勾選:防火牆配置、存取控制、加密措施、備份機制等。
文件導向
重點在於「證明有做」:政策文件、程序手冊、培訓記錄、合規報告。
技術掃描
使用自動化工具進行漏洞掃描、配置檢查,生成技術報告。
這些做法本身沒有錯,它們是網絡安全的必要基礎。問題在於:通過Checklist不代表能抵禦真實攻擊。
— HKMA CFI檢討報告(2020年)
什麼是「韌性導向」的演練?
CFI 2.0和GL20所強調的「網絡韌性(Cyber Resilience)」有著根本不同的著眼點:
| 維度 | 合規導向(Compliance) | 韌性導向(Resilience) |
|---|---|---|
| 核心問題 | 我們有沒有做該做的事? | 當攻擊發生時,我們能否有效應對? |
| 評估標準 | 是否符合監管要求清單 | 實際防禦、偵測、應對能力 |
| 測試方式 | 靜態檢查、漏洞掃描 | 動態模擬、實戰演練(Red/Blue/Purple Team) |
| 成功指標 | 報告通過、無重大缺失 | 縮短偵測時間、有效遏制擴散、快速恢復 |
| 團隊角色 | 被動接受測試 | 主動參與實戰、從失敗中學習 |
傳統滲透測試(Penetration Test)著重於「找漏洞」,而iCAST/TIBAS著重於「測試組織在面對精密攻擊時的整體應對能力」—— 包括偵測、遏制、恢復、溝通等多個維度。
二、深入理解iCAST:威脅情報驅動的攻擊模擬
iCAST是什麼?
Intelligence-led Cyber Attack Simulation Testing(iCAST)是HKMA CFI 2.0框架中C-RAF(Cyber Resilience Assessment Framework)的第三階段,也是最關鍵的實戰測試環節。
🎯 iCAST的核心特徵
- 基於威脅情報:不是隨機測試,而是模擬真實APT組織針對金融業的攻擊手法
- 端到端情境:從初始入侵到橫向移動、權限提升、數據竊取,完整模擬攻擊鏈
- 保密性:攻擊演練對大部分員工保密,測試真實應對反應
- Purple Team概念:CFI 2.0引入Blue Team協作,不只測試防禦,更測試偵測與應對
技術細節參考:Check Point - Hong Kong's New Era of Financial Cyber Resilience
iCAST與傳統滲透測試的差異
| 項目 | 傳統滲透測試(PT) | iCAST |
|---|---|---|
| 目標 | 找出系統技術漏洞 | 評估組織整體網絡韌性 |
| 情境設計 | 通用測試腳本 | 基於威脅情報的定制化攻擊場景 |
| 測試範圍 | 技術層面(系統、網絡) | 技術+流程+人員(偵測、應對、恢復、溝通) |
| 團隊參與 | IT部門 | 跨部門(IT、風險、合規、管理層) |
| 保密性 | 通常預先通知 | 對多數員工保密,測試真實反應 |
| 評估標準 | 發現漏洞數量、嚴重程度 | 偵測時間、遏制效果、恢復能力 |
iCAST的五個階段
1範圍界定(Scoping)
確定測試範圍、關鍵資產、業務情境。識別哪些系統是攻擊者的主要目標(如核心銀行系統、支付系統、客戶數據庫)。
2威脅情報分析(Threat Intelligence Analysis)
收集針對金融業的最新威脅情報,分析APT組織的TTP(Tactics, Techniques, and Procedures)。這是iCAST與傳統PT的關鍵差異所在。
3情境設計(Testing Scenarios)
基於威脅情報設計攻擊情境storyline。CFI 2.0提供參考模板,但需根據機構特性定制。
4執行測試(Testing)
Red Team執行攻擊,Blue Team進行偵測與應對。CFI 2.0特別強調Blue Team的主動參與,而非被動等待報告。
5報告與改進(Reporting & Remediation)
詳細記錄攻擊路徑、偵測盲點、應對缺陷,提出具體改進建議。重點不是「找到幾個漏洞」,而是「識別流程與能力差距」。
相比初版CFI,2.0版本特別強調:
- 引入Blue Team協作演練,從單向Red Team測試升級為Purple Team概念
- 提供iCAST情境參考模板,降低執行門檻
- 擴大認可資格範圍(如增加OSCP、CEH等實戰認證),紓緩CREST專才短缺問題
三、ALFARIA如何協助團隊準備真實攻防演練
⚠️ 重要聲明:ALFARIA的定位
ALFARIA是一個Cyber Range-as-a-Service訓練平台,提供軍事級網絡攻防模擬環境。它不是iCAST/TIBAS的直接替代方案,而是協助團隊準備這些正式評估的訓練工具。
正式的iCAST必須由具備CREST或同等資格的獨立專業團隊執行。ALFARIA的價值在於讓內部團隊在安全環境中持續練習,提升實戰能力。
ALFARIA如何填補「合規」與「韌性」之間的差距
真實場景模擬
提供100+網絡攻擊場景,涵蓋從基礎網絡防禦到高級持續性威脅(APT)的全方位訓練。團隊可以在無風險環境中練習應對真實攻擊。
Red/Blue/Purple Team訓練
支援攻擊方(Red Team)和防禦方(Blue Team)的對抗演練。這正是CFI 2.0所強調的Purple Team協作模式的最佳訓練方式。
績效追蹤與評估
詳細記錄團隊在各個場景中的表現:偵測時間、應對效果、決策品質。量化「韌性」水平,而非僅僅勾選Checklist。
定制化場景
可根據機構的業務特性、系統架構、威脅情報定制攻擊場景。這與iCAST要求的「情報驅動」理念一致。
持續訓練,而非一次性演練
iCAST可能每1-3年執行一次,但威脅環境持續演變。ALFARIA讓團隊可以隨時訓練,保持戰備狀態。
雲端SaaS模式
無需建置複雜基礎設施,只需瀏覽器即可開始訓練。這大幅降低中小型金融機構的進入門檻。
適用場景舉例
場景一:iCAST準備訓練
情境:某銀行被評為中等風險,需在6個月內完成首次iCAST。內部SOC團隊缺乏實戰經驗。
ALFARIA應用:
- 選擇與金融業相關的APT場景(如針對SWIFT系統的攻擊)
- 進行多輪Blue Team演練,訓練偵測與應對流程
- 評估團隊績效,識別能力缺口
- 在正式iCAST前,團隊已熟悉攻擊模式和應對流程
場景二:新員工技能評估
情境:HR部門需要評估候選人的實際網絡安全技能,而非僅看證書。
ALFARIA應用:
- 讓候選人在標準化場景中進行實操測試
- 評估其技術能力、問題解決速度、決策品質
- 確保招聘的是「真正會做」而非「只會考試」的人才
場景三:持續韌性維護
情境:已通過iCAST的機構,需要保持團隊戰備狀態。
ALFARIA應用:
- 每季度進行一次內部Purple Team演練
- 根據最新威脅情報更新訓練場景
- 追蹤團隊能力演進,確保不退步
四、金融機構如何從合規走向韌性
建議的漸進式路徑
確保通過C-RAF前兩階段:固有風險評估、成熟度評估
使用ALFARIA訓練SOC團隊,建立基本攻防應對能力
聘請合資格外部團隊執行正式評估
根據iCAST發現持續訓練,建立韌性文化
避免常見誤區
滲透測試是找漏洞,iCAST是測試組織應對能力。兩者目標不同,不可互相替代。
威脅環境持續演變,一次性測試無法保證長期韌性。需要建立持續訓練機制。
真實攻擊會影響業務、聲譽、客戶信任。應對需要跨部門協作,包括風險、合規、公關、管理層。
ALFARIA等訓練平台是準備工具,不能替代由合資格獨立團隊執行的正式評估。監管機構要求的是獨立第三方驗證。
五、2026年香港金融網絡安全監管全景
香港金融機構正面臨三大監管框架的同步要求:
| 監管框架 | 適用對象 | 生效時間 | 核心要求 |
|---|---|---|---|
| HKMA CFI 2.0 | 所有認可機構(銀行) | 2021年1月 | 三階段評估(固有風險、成熟度、iCAST)。中高風險機構強制iCAST。 |
| 保監局 GL20 | 保險公司 | 2025年1月 | C-RAF評估框架,中高風險保險公司需執行TIBAS(類似iCAST)。 |
| 關鍵基建條例 | 關鍵基礎設施營運者 | 2026年 | 網絡安全風險評估、事故通報、定期演練等要求。 |
📌 監管趨勢總結
三大框架的共同點:
- 從合規到韌性:不只要求「有政策」,更要求「有能力」
- 情報驅動:基於真實威脅情報設計測試場景
- 實戰模擬:強制要求攻擊模擬測試(iCAST/TIBAS)
- 持續改進:不是一次性合規,而是持續能力建設
結論:韌性是練出來的,不是寫出來的
合規是底線,韌性是目標。Checklist能證明「我們有做該做的事」,但只有實戰演練能證明「我們真的做得到」。
CFI 2.0和GL20的推出,標誌著香港金融監管從「文件審查」邁向「能力驗證」的範式轉移。這不是增加負擔,而是推動行業從被動合規走向主動韌性。
ALFARIA作為訓練平台,無法替代正式的iCAST評估,但能夠:
- 協助團隊在安全環境中持續練習
- 降低正式iCAST的準備成本和失敗風險
- 建立「韌性文化」,而非只是應付一次性檢查
真正的網絡韌性,不是報告上的勾選框,而是當攻擊來臨時,你的團隊能否快速偵測、有效遏制、迅速恢復。
想了解ALFARIA如何協助團隊準備iCAST/TIBAS?
AlfaCloud提供免費諮詢服務,協助金融機構評估網絡韌性需求,規劃訓練路徑。
1. 非監管建議
本文內容僅供一般參考,不構成法律、合規或專業監管建議。CFI 2.0、GL20及相關監管要求的具體應用可能因機構情況而異。如有任何疑問,請諮詢專業律師或直接聯絡相關監管機構:
- 香港金融管理局(HKMA):www.hkma.gov.hk
- 保險業監管局(IA):www.ia.org.hk
2. ALFARIA產品定位
ALFARIA是網絡安全訓練平台,不是正式iCAST/TIBAS評估服務的替代方案。正式監管評估必須由具備CREST或同等資格的獨立第三方執行。ALFARIA的價值在於協助團隊準備這些評估,並建立持續訓練機制。
3. 資訊時效性
本文撰寫於2026年2月,監管要求可能持續更新。請以監管機構最新公告為準。
4. 非審計或保證服務
AlfaCloud不提供審計、保證或認證服務。如需正式iCAST執行,請聯繫具備相關資格的專業服務機構。
