iThome
雖然企業資安投資今年大幅成長了1成,但距離資安長認為足以因應資安威脅的預算,還需要再多3成。要克服資安弱點,因應眼前威脅,預防未來風險,如何安排有限資安資源的優先順序是關鍵。
從今年資安投資重點排名,可以了解多數企業在資安對策、技術和各種防護對策的優先順序,作為自家資安決策的參考。尤其,我們也探詢企業對於多項新興資安框架或技術的採用意願,更可以一窺這些新興資安做法在臺灣的發展。
網路安全、IT基礎架構防護、郵件安全、異地備援和端點安全,這五項可說是企業資安的基礎,也是年年名列前茅的投資重點。今年投資排名上,最特別的是,員工資安意識的教育訓練投資,超越了災難復原的排名。
勒索軟體資安事件在過去2年頻傳,去年更有多起知名企業遭到勒索威脅的重大資安事件,也因此,災難復原在去年成了不少企業用來因應勒索軟體威脅的對策之一,在去年的資安投資排名上名列第五,而員工資安意識在去年名列第七。但是到了今年,這兩項的地位對調了,企業比過去更加重視員工資安意識的強化。
另外也有兩項資安投資的排名,在今年提升了不少,滲透測試首度擠進了整體產業的Top10資安投資重點,今年有22.1%企業會投資,再者,資安委外的排名也增加不少,近2成企業今年要採取這個做法。不論是滲透測試或資安委外,這都是借助外力來強化自身資安的做法,企業越來越清楚,資安不是單打獨鬥,也無法單靠自己的技術和人力來因應,比過去更願意引進外部資安專業的輔助。
有幾項新興資安做法開始在臺灣受到重視,例如零信任資安架構,今年有15.6%的企業要導入,又以政府機關與學校最積極,多達3成機關要採用,其次是金融,也有15.9%業者要採用。多因素驗證的接受度比過去更高,以政府與學校、高科技業者最積極,不過,醫療業對多因素驗證的意願相對偏低。
近兩年才開始在國外流行的DevSecOps(安全開發維運一體化)做法,今年開始在臺灣崛起。臺灣這兩年吹起一股敏捷風,積極的企業則會進一步擁抱DevOps做法,將開發與維運流程整合,現在還要再加上資安,將資安融入到開發流程中,來兼顧速度、品質和安全。今年有3.8%的企業要導入DevSecOps,又以金融業(6.8%)和服務業者(5.9%)較多,這兩個產業這兩年大力推動產品與服務的數位化,重度依賴各種數位通路和線上平臺,如何快速開發出更安全的應用成了重要課題,也是這兩個產業更積極擁抱DevSecOps的緣故。
我們今年也將軟體物料清單(SBOM)列入調查項目,雖然這是確保軟體供應鏈安全的重要機制,美國政府甚至要求政府採購的軟體必須支援,SBOM是一份軟體元件組成表,就像食品的營養成分表一樣,可以用來了解一套軟體的組成元素、內部模組和所有相關的元件的版本和資訊,企業自己可以比對自家軟體是否用了剛發現漏洞的元件,更早採取行動,不用等廠商通知,進而降低軟體供應鏈的風險。但是,在臺灣只有極少數約0.2%的企業開始嘗試。不過,金管會年中在一次採訪中曾透露,目前正在參考國外經驗,預計在今年年底前,將於金融資安行動方案中,揭露供應鏈相關資安管理規範。這勢必也會帶動臺灣其他產業、政府機關對SBOM表的重視。
問卷說明 大調查執行期間從2022年7月1日到29日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷416家,其中61.9%填答者為企業資安最高主管。
熱門新聞
2024-04-29
2024-04-29
2024-04-28
2024-04-26
2024-04-26
2024-04-29
2024-04-26