首次引入AI红队测试…全面检查探测、防御与应对能力
在包括Mythos在内的人工智能(AI)基础黑客威胁日益加剧的背景下,金融监管当局今年将把面向金融业的盲测式模拟黑客演练扩大为每年举行2次。
金融监督院30日表示,将与金融保安院共同于5至6月实施上半年金融业盲测式模拟黑客演练。
盲测式模拟黑客演练旨在强化金融业对网络威胁的事前预防和应对能力。监管机构不会事先公开攻击时间和对象,而是通过白帽黑客的突袭攻击,检查金融公司对黑客入侵的探测、防御能力以及应急响应体系,演练以此方式进行。
金融监督院结合近期日益高级化的网络威胁及金融业侵害事故的样态,决定将演练次数从以往每年1次增加到每年2次。将通过扩大演练对象、周期和攻击类型来进一步提升演练强度。第二次演练将在下半年实施。
尤其是本次演练中,将首次引入从黑客视角发起攻击以挖掘薄弱环节的“AI红队测试”,重点检查金融公司在提供生成式AI服务过程中,可能出现的信息泄露风险、诱导异常应答等新型安全威胁的应对能力。
此外,还将通过突袭分布式拒绝服务(DDoS)攻击、服务器黑客入侵、模拟渗透测试等方式,重点检查黑客攻击的探测与拦截能力,以及内部响应流程的适当性和及时性。同时将对外部接入基础设施、网络漏洞以及安全更新的适当性进行细致排查。
金融监督院计划对检查结果中暴露出的薄弱环节立即采取措施予以补强。对于共性漏洞,也将与其他金融公司共享,以强化整个金融业的整体安全能力。
尤其是对于Anthropic公开的AI模型Mythos等高性能AI模型被恶意利用的可能性在内的新型AI基础网络威胁,金融监督院也将持续监测,并在今后的演练中予以反映。
金融监督院数字·IT副院长补Lee Jongo表示:“本次演练在次数、周期和对象方面都进行了大幅扩充,并将引发侵害事故的主要薄弱环节的排查范围扩大到面向客户的AI服务,从而提升了演练实效”,他还表示:“这将有助于强化金融公司应对网络威胁的能力,预防侵害事故发生。”
版权所有 © 阿视亚经济。未经许可不得转载,禁止用于AI训练及使用。
