iThome

雖然今年企業資安投資大幅成長近2成,但資安威脅和風險百百種,如何分配資安資源的布局,集中火力因應衝擊高又容易發生的風險,仍是企業的挑戰。在資安長眼中,勒索軟體依舊是2022年未來1年最可能遭遇的風險,對企業帶來衝擊也最大, 遠高於其他資安威脅 ,不過,值得關注的是,釣魚網站和BEC詐騙的風險今年也快速升高,成了企業高度警戒的威脅。

我們從去年資安大調查開始,由企業資安長和資訊長自評,對各類資安風險項目的衝擊高低和發生可能性高低,來製作出臺灣大型企業適用的企業資安風險圖。

這些資安威脅項目參考了國外多項資安報告所列出的資安風險,也彙整了臺灣過去一年來重大資安事件背後的原因。主要搜集了三大類的風險,來自不同攻擊者產生的威脅,各類資安事件帶來的風險,以及透過不同攻擊途徑(又稱為攻擊向量,Attack Vector)所產生的威脅。這也是一種從攻擊面來思考的資安風險,有助於企業採取不同類型的防禦對策。要針對攻擊來源、攻擊手法或是攻擊管道來應對,可以各有不同的策略。

在去年的iThome資安大調查中,我們調查了19項資安風險,包括了5項攻擊者,6種攻擊途徑和8種常見的資安事件風險。今年則擴增到了24項資安風險項目,包括了7項攻擊者,7種攻擊途徑和10種資安事件。在攻擊者類型上,將去年的來自委外第三方業者的攻擊途徑,在今年列為新的攻擊者類型是「第三方委外業者」,而在攻擊途徑上,則增加了釣魚網站和商業郵件(BEC)這兩種臺灣近年特別猖獗的威脅手法,希望能貼近臺灣企業所面臨的處境。

而在資安事件項目上的變動較大,一方面,我們在今年移除了「國家資助的關鍵基礎設施攻擊」事件,這個項目的屬性,與「國家級攻擊組織」和「國家關鍵基礎設施癱瘓事件」這兩項有高度重複,因此在今年移除了,但在今年調查中,則增加了「挖礦攻擊」、「軟體供應鏈資安事件」、「硬體供應鏈資安事件」,第一類是國外過去一年經常發生的資安事件,後兩者則是想要進一步觀察,臺灣軟硬體資安事件風險的變化。

今年大調查也延續了去年的做法,繼續製作出各產業的企業資安風險圖,將不同攻擊者、資安事件或攻擊途徑產生的24項資安威脅,依據衝擊高低和未來1年發生的可能性高低,繪製出一張四象限的企業資安風險圖。

在座標軸上,垂直Y軸用來反應該項目對企業的衝擊高低,風險項目所在的位置越往上,代表對資訊長今年評估對企業衝擊越大,而水平X軸是指企業未來1 年發生該項目的風險,位置越右,代表越多資訊長認為該項發生可能性越大。企業可以從比較不同風險項目的相對位置,來看出這些風險之間的衝擊差異或是未來一年發生可能性的高低差異,例如,勒索軟體資安事件的Y軸高度和駭客攻擊相當,表示兩者帶來的衝擊差不多,但是,勒索軟體資安事件的X軸位置,比駭客攻擊更靠右邊,也就是勒索軟體資安事件未來一年發生可能性比遭受駭客攻擊更高的意思。

另外,在今年也特別將發生風險顯著比去年增加很多者,改用紅色文字來標記,提醒企業這是今年必須格外留意的風險。衝擊高、發生風險也高的第一象限,名列其中的風險,都是企業需要優先關注的項目,而當企業資源有限時,可以優先對焦首要風險來處理,額外的資源再投入到次要風險中,將企業資安資源用在刀口上。

從2022年整體產業的資安風險圖來看,勒索軟體和駭客依舊是今年的兩大首要風險,連續第二年列入首要,這也反映出,資安威脅依舊持續,對這2大類的防禦得繼續落實,不能輕易鬆懈,其次則是社交工程手段、釣魚網站和資安漏洞這三項次要風險類型。

值得注意的變化是,資安漏洞在去年屬於企業最迫切的首要風險之一,但是到了今年調查,資安漏洞雖然還是處於高衝擊和高風險的第一象限,但是資訊長評估這項的風險層級下降了。

一方面的原因是,企業近2年經歷了多起重大資安漏洞的緊急修補,企業自己逐漸發展出了一套漏洞緊急修補的應變對策,可以更從容的因應新的漏洞搶救工作,因而降低對該項的風險,另一方面的原因是,這也反映出企業今年更加關注眼前實際會發生的風險,而降低了對資安漏洞這類不可預期未來影響風險類型的關注,企業若有沒對應的。

另外一個今年值得注意的現象是,顧客資安事件從去年第四象限(衝擊低、發生可能性低),但在今年,資安長認為這項風險的威脅快速升溫,因此,進入了衝擊高且發生可能性高的第一象限,尤其不少產業都是如此,企業也不能忽視這類發生在顧客端的資安事件,這也意味著資訊部門和資安團隊的守備範圍更大了,不只要顧及企業,甚至連服務的顧客發生的資安事件,也都得開始納入考量。

企業如何繪製自己的資安風險圖

這張企業資安風險圖還有另外一個運用方式,企業可以自己針對這24個項目進行評分,分為10級,衝擊程度從最低1分,到最高10分,而同一個項目未來發生可能性也同樣分為10級,1分最不可能發生,而10分代表最可能發生。若一項風險企業自評分數是衝擊8分,發生可能性4分,則採取這個公式(自評分數-5)/5,以衝擊8分來看,(8-5)/5就是0.6,而發生可能性4分是 (4-5)/5=-0.2,這就可以得到該項目的座標位置(0.6,-0.2),企業可以一一計算出24項風險的座標值,參考這張整體資安風險圖座標軸上的數值長度,繪製出自家風險的位置,可以用來跟彙整自416家企業的整體資安風險圖相比較,來看出,自家風險和產業一般性風險的分布差異上。

尤其是,同一項資安風險項目,在產業整體資安風險圖上,位置越往右上角,但在企業自家資安風險圖卻是越靠左下角,這就需要特別留意,這代表了,業界認為這項風險得關注,而資訊長自評卻是相對不需要關注,企業得進一步思考這兩者落差的意義,弱勢企業已有妥善對策而降低該項風險,那就不用擔心,若是沒有特別防護對策,卻自己降低了該項風險,那就可能會成為企業資安防護的破口之處,必須趕快思考彌補做法。

 企業資安風險圖製作說明  在iThome 2022年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。
 問卷說明  大調查執行期間從2022年7月1日到29日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷416家,其中61.9%填答者為企業資安最高主管。
資料來源:2022 iThome CIO大調查,2022年8月

 相關報導  

熱門新聞

Advertisement