CIS專家看Mythos AI風險：漏洞發掘加速考驗企業資安基本功

CIS資深副總裁Tony Sager指出，零時差漏洞並不是新問題。Mythos這類AI工具真正改變的，是漏洞被發現與揭露的速度，以及漏洞研究可能涵蓋的技術領域；這將使企業資安團隊面臨更多漏洞通報與更緊迫的應變壓力，但並不代表既有防禦策略已經失效。

Tony Sager長期投入資安防禦實務與社群推廣，曾主導CIS關鍵安全控制措施（CIS Critical Security Controls，CIS Controls）的發展，推動由社群共同建立並廣泛採用的防禦最佳實務。他也曾擔任美國國土安全部（DHS）與美國網路安全暨基礎設施安全局（CISA）網路安全審查委員會（Cyber Safety Review Board）創始成員；在此之前，他曾於美國國家安全局（NSA）服務34年，也是NSA早期軟體漏洞分析師之一。

Sager強調，速度源於準備而非反應，因為組織機構需要以前所未有的速度運作，但速度的實現離不開堅實的基礎，他認為，面對AI可能加快漏洞揭露的趨勢，企業更應重視並落實資安基本功。CIS、雲端安全聯盟（Cloud Security Alliance，CSA）等單位提出的資安指引仍然適用；多數情況下，軟體供應商也會依既有安全更新流程釋出修補程式。即使修補程式尚未推出，若企業已落實良好的網路安全設定、合理網路分段與分層防禦機制，並具備足夠的系統可視性，仍有能力阻擋攻擊或降低攻擊造成的實際影響。

Sager也提醒，找到漏洞只是攻擊鏈的一環，攻擊者仍須克服成本、技術門檻與失敗風險，才可能發動有效攻擊。因此，即使零時差漏洞發現數量增加，也不會自動演變成大規模攻擊，更不代表攻擊一定能成功。

Sager建議，企業領導者面對Mythos這類AI工具時，應回到資安治理的五項基本問題：釐清最需要保護的資產、確認資安基本功是否落實、建立及早發現問題的能力、明確定義事件發生時的風險判斷與決策權責，並加入可信任的資安社群與夥伴網路，避免單獨面對威脅。

從臺灣資安發展脈絡觀察，Sager強調的社群協作與集體防禦，也呼應近年臺灣推動資安聯防與國際情資合作的方向。iThome先前報導指出，國家資通安全研究院接手維運臺灣電腦網路危機處理暨協調中心（TWCERT/CC）後，將其定位為臺灣公私聯防與國內外資安情資交流的重要樞紐，並透過團體會員機制，協助企業取得第一手情資、加速事件處理。另一方面，臺灣加入國際資安應變組織FIRST的成員數也持續增加，涵蓋科技製造、網通、金融、服務與資安業者，顯示企業面對跨國資安威脅時，與國際社群接軌已成為重要防禦基礎。

整體而言，Sager認為，隨著AI加快資安研究腳步，企業資安防禦的重點仍在於資安體質是否健全、基本功是否落實。對已具備基礎防禦能力的組織來說，這將進一步檢驗相關措施能否在實務中發揮作用；對尚未完成基礎資安建設的企業而言，則必須盡快補強資產盤點、組態管理、漏洞修補管理能力，並參與具公信力的資安應變組織，強化情資交流與協作。