隨著網絡威脅日趨複雜,企業對網絡風險管理的需求亦不斷提升。TriTech 最近引入美國網絡風險情報公司 Bitsight 的方案。Bitsight 聯合創辦人兼創新總監 Stephen Boyer 早前來香港出席活動會見客戶,專門探討金融業合規與 Al 風險,就當前網絡安全挑戰及行業趨勢分享見解。
CISO 不能再只說「技術語言」
「現在的 CISO,必須學會說業務語言,」Boyer 開門見山地說。
資訊安全總監(CISO, Chief Information Security Officer)的工作一直被視為 IT 部門——防火牆、入侵偵測、修補漏洞等,都是職責範圍之內。但 Boyer 認為這定義已經過時。當網絡攻擊造成的損失越來越嚴重,董事會開始視網絡風險為業務風險的一部分,CISO 需要直接面向管理層。
然而,管理層不會明白 CVE(通用漏洞披露)編號,也不關心漏洞的 CVSS(通用漏洞評分系統)評分。他們只想知道:「這件事會令公司損失多少錢?」
Bitsight 的核心技術將 網絡風險量化(Cyber Risk Quantification)。Boyer 指出,能夠把技術風險轉化為財務語言的資訊安全總監,方能獲得管理層的信任。Bitsight 的 Security Posture Management(SPM)整合威脅情報、業務背景與同業基準比較,讓安全團隊能以可量度的方式向管理層展示網絡安全成效,而非單靠「分享恐怖故事」去爭取預算。
情報即時間,但時間正在快速消失
Boyer 特別強調威脅情報在現今環境的關鍵作用。「如果沒有數據和情報,難以做出正確決策。」
除了情報是否準確,Boyer 更指出,企業要關注情報是否夠快。以往從漏洞公告到實際被利用,可能需要數年;現在往往只有數週甚至數天⋯⋯未來,更可能僅只有數小時。情報的價值在於幫助安全團隊知道:「此刻香港的金融業,有哪幾個漏洞正在被攻擊者大規模利用?」,讓龐大漏洞清單無從入手,收窄成可以即時行動的優先清單。
但 Boyer 強調,單有情報還不足夠,還需要有能力把情報轉化為行動。他舉例,如何在內部溝通、如何協調供應鏈、如何講明為何優先處理某類件事。情報與工作流程,缺一不可。Bitsight SPM 將這兩者結合,透過 AI 驅動的優先排序與Jira、ServiceNow 等工具的整合,縮短從發現風險到完成修補的時間。
AI 讓攻防速度都在加快
AI 已成網絡安全攻防的核心技術。Boyer 坦言,攻擊者在短期內佔有一定優勢。原因很簡單:攻擊者只需找到一個缺口,防守方卻要守住所有關口。而 AI 工具讓攻擊者能以更快速度、更大規模自動化偵察和入侵。去年全球已記錄約 47,000 個已知漏洞,數字仍在上升。Bitsight 每日處理超過 4,000 億個安全事件,目標正是讓企業在攻擊者行動之前,已掌握自身的暴露狀況。
不過,Boyer 對技術發展感樂觀,防守方同樣會善用 AI,在發布程式碼之前自動偵測缺陷,即業界所指的「Shift Left」,或在威脅情報觸發時以機器速度自動回應,毋須等待人手介入。「攻擊者能自動化,防守方一樣可以。」
Bitsight 獲評為網絡安全風險評級領袖
Bitsight 亦獲獨立研究機構認可。在 Forrester Wave 網絡安全風險評級平台報告(Q2 2026)中,Bitsight 獲評為領袖級別,在 11 項評估準則中取得最高分,是所有參與評級的供應商中最多,並在「現有產品」類別奪得最高評分。Forrester 在報告中特別指出,客戶對 Bitsight 數據的實用性給予高度評價,認為平台能將風險評級轉化為可即時行動的情報,協助企業主動降低風險。
供應鏈:看不見的最大缺口
近年業界關注供應鏈的安全問題。即使企業本身的防線無懈可擊,但卻可以因為不設防的供應商,足以讓一切努力功虧一簣。
除了 2020 年的 SolarWinds 事件涉及供應鏈漏洞,過去亦曾不時發生同類情況。Boyer 提到 2013 年美國零售商 Target 的案例:入侵者透過冷氣系統存取憑證,滲入核心系統,最終導致逾 4,000 萬張信用卡資料外洩。根據 Verizon 的數據洩露調查報告顯示,30% 入侵事故源自供應鏈,而這比例在最近一年已倍升。
Bitsight for Third-Party Risk Management 提供持續監控功能,讓企業在整個供應商生命週期中追蹤實時風險,並以數據優先排序,幫助安全團隊集中處理最關鍵的供應鏈暴露點。Boyer 補充,平台亦會追蹤暗網上流出的憑證資料,去年共收集約 29 億筆遭洩露或出售的帳戶資料,協助企業盡早識別與自身供應鏈相關的風險。
從 CISO 角色的演化、情報驅動的即時決策、AI 重塑攻防速度,到供應鏈成為新主戰場,Boyer 的訪問描繪出清晰的行業圖景:網絡安全已不再是防護的遊戲,而是以情報為核心的風險管理。攻擊速度以AI為引擎不斷加速,誰掌握情報、誰能快速行動,誰就掌握主動權。
了解更多 Bitsight : bitsight.com
