香港保險業監管局（IA）於2024年12月發佈了最新修訂的《網絡安全指引 GL20》，正式要求在港經營的認可保險公司採用 網絡韌性評估框架（Cyber Resilience Assessment Framework，簡稱 CRAF），以加強其整體網絡安全防禦能力。倘若未能遵從相關要求，更可能面臨金錢罰則。(詳細指引內容可參閱我們上一篇文章)

那麼，我們如何確定公司是否已符合這些最新的合規要求呢？

認識模擬攻擊測試（Breach and Attack Simulation, BAS）

今天，我們為大家介紹一項能協助保險公司應對 GL20 合規要求的關鍵技術 —— 模擬攻擊測試平台（BAS 平台）。

根據新版 GL20 中的要求，中度風險的保險公司需進行至少三個攻擊場景的測試，高風險公司則需涵蓋五個。而 BAS 平台正正可以協助保險公司達至這項 威脅情報為基礎的模擬攻擊（TIBAS） 要求。

BAS 提供自動化、具威脅情報基礎的攻擊模擬，能夠逼真地重現現實中的網絡攻擊，幫助機構在 不影響日常營運 的前提下，驗證其網絡防禦系統的有效性。

BAS 如何協助應對 GL20 合規？

1.自動化攻擊測試
模擬各類型網絡威脅（如勒索軟件、內部威脅、APT 攻擊等），全面測試企業的偵測與回應能力。

2.安全控制驗證
持續測試關鍵防護措施（如防火牆、EDR、SIEM 等）能否準確攔截實際攻擊，並生成合規所需的證據報告。

3.風險為本的優先排序
結合威脅情報與漏洞分析，過濾誤報並集中資源處理最關鍵的弱點，與 GL20 的風險導向策略保持一致。

企業級 BAS 解決方案 —— Picus 為您全面守護網絡防線

並非所有 BAS 平台皆能完全支援 GL20 要求。Picus Security 提供的解決方案不僅滿足合規需求，更可全面提升保險公司網絡安全的整體韌性。

Picus 的四大優勢：
1.全面整合安全工具生態系
可無縫連接 SIEM、EDR、XDR 等主流安全系統，確保模擬攻擊能觸發實際警報並產出合規報告。
2.持續安全驗證與態勢追蹤
透過定期或隨需模擬，偵測配置偏移與潛在安全缺口，避免防禦能力下降。
3.風險導向修復優先次序
集中處理真正可被利用的高風險弱點，提升資源使用效益。
4.針對性修復建議
提供精準可行的補救措施建議，協助快速落實整改，與 GL20 的安全要求保持一致。


透過 Picus BAS，保險公司可持續驗證防禦能力，在日益嚴峻的網絡威脅環境下，自信地應對 GL20 合規挑戰，並進一步提升整體網絡安全備戰水平。

作為 Picus 在香港的長期銷售及服務夥伴，Amidas 一直致力提供專業的模擬攻擊測試（BAS）解決方案與技術支援。我們擁有經驗豐富的網絡安全顧問團隊，能深入了解客戶在合規要求與安全防禦上的實際挑戰，並為其度身打造最合適的 BAS 部署方案。無論您關注的是安全控制驗證、風險優先修復、還是持續的防禦能力追蹤，我們都能提供專業建議與全面支援。歡迎立即聯絡我們，讓我們協助您強化網絡防禦，穩步邁向 GL20 合規之路！

電話：2168 0388
Whatsapp: 9828 3401
電郵：[email protected]

Source