iThome
今年是我們第四度發布企業資安風險圖,彙整了422家大型企業或知名企業IT主管、資安主管對於25項資安風險的威脅和衝擊評估,繪製出了這一份臺灣大型企業用的2024~2025企業資安風險圖,還細分成6個產業的風險分布圖,揭露每個產業各自的資安態勢。
今年所調查的25項資安風險,還可細分為三大類,攻擊者的風險5項、攻擊途徑的風險8項,以及12項攻擊事件的風險項目。對企業來說,面對這三類風險的因應策略,有很大的不同,因應攻擊者的風險,企業得學會攻擊者的思維,像是可以參考ATT&CK資安框架,來了解可能遭遇的網路攻擊手法,來設計攻防演練和強化自身防護能力的參考。
而針對不同的攻擊途徑,則得考慮企業對不同途徑(這往往也是面對顧客的服務通路)的依賴程度,來強化對關鍵通路的資安,設計專門的防護機制。而在資安事件的對策上,偵測能力和應變能力是關鍵,一方面提前發現可疑行跡來阻斷災情,另一方面則是在災情不可避免的發生後,快速應變和緩解,盡可能降低損失和衝擊。
每一年、每一個產業的企業資安風險圖的分布,都不太一樣,因為每一年企業所面臨的資安態勢都會變化。企業可以依據每一年,自己所屬產業的資安風險圖,來了解這三大類共25項風險項目的發生可能性,以及衝擊高低。
越是出現在第一象限的資安風險,就越是得高度警戒的項目,也是資安資源優先投入的重點,尤其我們都會整合風險高低和衝擊高低,歸納出當年的必要風險和次要風險,這兩項就是企業在未來一年高度可能發生,也是非提前防範不可的風險。
今年的12大風險項目,看似與去年十大風險項目很像,前六項的內容和順序,的確都和去年相當,社交工程手段連續兩年名列年度最高風險(最容易發生的資安風險),4成企業都認為未來一年極可能遭遇,二到六名依序是勒索軟體資安事件、駭客、釣魚網站、資安漏洞、商業郵件詐騙。
但是,去年名列第七的ChatGPT淪為攻擊工具的風險,在今年下滑到了第11名。今年大調查新增加的風險項目「被植入竊資軟體/後門木馬」則以些微差距,超越ChatGPT風險,成了今年第10項資安風險。
從整體產業風險來看,ChatGPT風險看似下降,高度擔心此風險的企業也從去年的20.9%,今年減少了一些下滑到17.1%。但若進一步來檢視不同產業,會發現仍有很大的產業落差。高科技製造業是最擔心ChatGPT和GAI(生成式AI)風險的產業,每四家就有一家高科技業者認為,自己未來一年非常有可能遭遇此攻擊。醫療業和金融業也都有將近2成企業擔心。去年特別擔心ChatGPT風險的政府機關(去年21.7%)和一般製造業(去年23.2%),在今年都大幅下滑到15%以下。2022年開始爆紅的ChatGPT和GAI,企業經過一年的嘗試、模索,開始從莫名驚喜和擔憂,轉為更務實的看待,來評估可能的威脅風險處理。
運用深偽技術的商業詐騙,成為明確的資安新威脅
值得留意的有一項快速浮現的風險是「深偽技術(Deepfake)冒用事件」,今年有8.5%企業列為未來一年極可能發生的風險,這個比例在去年只有4.4%,今年幾乎翻了快一倍。尤其是金融業,去年幾乎沒有金融業者擔心這項風險,但今年卻暴增到14.8%。政府機關也從去年的4.3%,今年增加到9.8%,多了一倍的政府機關與學校格外擔心這項風險。
雖然早在2022年,美國聯邦調查局就發布警告提醒企業小心深偽技術的風險,但是,直到今年2月,在香港爆發了一起結合商業郵件詐騙和深偽技術的詐騙攻擊,損失高達2億港幣。一家跨國企業員工收到駭客假冒總部財務長要求轉帳的郵件,雖然員工謹慎地要求視訊,但駭客偽造相關與會者的長相和聲音非常逼真,讓員工卸下心防而依照指示轉帳,事後才發現上當。這起真實的深偽商業詐騙事件,引起各界重視,金融界更是高度警戒。因此,在今年資安風險圖上,可看到深偽技術的風險程度明顯增加許多。一般製造業的擔心也不亞於金融,多達13.3%一般製造業者擔心遭遇到同樣的深偽詐騙。
臺灣企業大大低估了軟體供應鏈資安威脅的風險
還有一項排名不高但值得企業資安長留意的資安風險,今年資安大調查中,只有4.0%企業擔心未來一年發生「軟體供應鏈資安事件」,在25項風險中名列倒數第三,擔心的企業百分比甚至比去年4.9%還要更少。但這項臺灣企業格外輕忽的資安風險,卻是美國政府、大型跨國企業格外擔心的重大威脅。
尤其在今年3月29日,發生了一起震驚IT界的XZ程式庫遭植入後門事件,攻擊者精心潛伏,扮演熱心的開源貢獻者,花了2年時間參與開放原始碼軟體專案XZ的維護,來獲取其他開發人員的信心,為了就是暗中植入惡意程式碼。
只因有位開發者察覺SSH登入失敗及變慢500毫秒的異狀,才揪出暗藏的後門程式碼,揭露了此項精心設計的供應鏈攻擊,還沒有感染到整個Linux作業系統軟體鏈,否則後果不堪設想,任何一家使用了Linux作業系統的企業(幾乎是每一家了),都會出現了10分威脅度後門漏洞。
雖然這起事件發生在今年資安大調查執行時間之後,從大調查,還無法看到這起事件對臺灣企業資安警戒心的影響,但在事件發生之前,臺灣企業普遍對於軟體供應鏈攻擊的威脅感,非常的低,從今年資安大調查結果,只有4%的企業擔心這樣風險,就可以得知。隨著XZ資安後門事件的爆發,軟體供應鏈資安勢必再次成為資安界的熱門課題,臺灣企業得改變心態,開始正視這項風險。
問卷說明 iThome資安大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家。填答者中,企業資安最高主管占了62.8%,企業CIO則占了71.8%。產業分布上,一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3%、政府與學校則占了9.7%。
熱門新聞
2024-11-12
2024-11-18
2024-11-19
2024-11-15
2024-11-15