將資安風險即時轉化為可能損失金額，趨勢科技首度公開CRQ預覽版

打破資安風險量化僅是評分，趨勢科技力推資安風險可能損失金額計算

早在2024年，針對攻擊面風險管理（ASRM）解決方案層面，趨勢科技不只強調持續威脅暴露管理（CTEM）的重要性，並曾預告將發展以AI計算「風險損失金額」的指標，解決資安長與董事會、治理層之間的溝通斷層。如今，隨著Cyber Risk Quantification（CRQ）預覽版的首度公開，這項願景也宣告正式實現，並預計將在7月發布預覽版供企業試用。

根據現場人員說明，這項功能主要受FAIR模型（Factor Analysis of Information Risk）啟發。具體而言，FAIR模型透過風險發生可能性（Likelihood）與風險衝擊（Impact）兩大維度，最終推導出貨幣風險（Monetary Risk），即具體的可能損失金額。趨勢科技的CRQ雖建立在此基礎之上，但在背後的計算邏輯上，則整合自身強大的偵測數據與演算法。

CRQ更關鍵的亮點在於，風險量化金額具備即時產生的特性。例如，在威脅頻率的計算上，可透過Trend Vision One平臺XDR偵測到的實際威脅次數、針對性攻擊預測，以及比對威脅者的TTPs，評估外部攻擊的活躍程度，同時也會結合網路風險曝險（Cyber Risk Exposure），分析內部的風險事件、攻擊路徑預測、惡意程式爆發預測，並衡量現有防護控制措施的有效性。

換言之，當企業環境內的漏洞狀態、防護設定或外部威脅情勢發生變動時，後端公式計算會隨之即時連動。資安人員僅需點擊更新，即可取得精準反映當前現狀、計算當下風險可能損失金額。

特別的是，相較於過去介紹只提及「整體風險損失金額」的單一指標，本次展示的介面內容更為細緻，現在這套系統還能夠針對個別項目進行量化評估。例如，我們可以看到其評估維度分為兩大類，一是對應NIST CSF框架的保護項目，如「帳號管理（AC-02）」、「邊界保護（SC-07）」等，一是對應具體威脅類情境，如「勒索軟體與資料加密」或「資料外洩」等，預估個別項目的風險可能損失金額。

此外，在Vision One平臺上的CRQ功能啟用初期，其介面也會透過問卷收集企業財務背景等資訊，因此也能即時計算出風險損失佔年營收的比例，讓資安風險與企業經營指標直接掛鉤。相較於傳統風險評分方式，這將讓資安主管能以數據為本，向決策層說明各項威脅的潛在財務影響，資安主管亦能根據財務影響力決定弱點修補優先順序。

針對影子AI的風險，趨勢科技公開AI Risk Insight預覽版

另一個受矚目的焦點是AI Risk Insight預覽版。 趨勢科技現場人員解釋，雖然AI分析功能早已貫穿整個Trend Vision One平臺，但AI Risk Insight的定位不同，它專注於解決企業在導入AI應用時最棘手的可視性（Visibility）難題。

關於資安威脅的動態，防守方若能清楚看見，就更能有效保護。。AI Risk Insight讓企業能全面掌握環境內的AI使用軌跡，包括辨識哪些員工正在存取哪些AI服務、監測是否有機敏資料外傳等行為，以及針對企業內部出現的AI Agent進行管理。如今Trend Vision One在平臺上提供這樣的整合介面，資安團隊能一目了然地管控所有企業內的影子AI問題。這項全新功能介面的預覽版同樣預計會在今年第三季發布。

至於趨勢科技去年在Computex與Black Hat大會等活動上，多次預告將發展以Digital Twin革新企業紅藍隊攻防演練的解決方案，他們目前表示目前已有客戶正在測試，這套方案同樣能夠頻繁執行，讓企業能夠在應對變化快速的當今威脅時，可以更持續且頻繁地進行，而非間隔許久才能進行一次。

此外，針對去年發表、以數位孿生（Digital Twin）革新紅藍隊攻防演練的解決方案，趨勢科技表示目前已進入客戶實測階段，企業紅藍隊演練可望更頻繁地進行，而不像過往只能久久執行一次。