iThome
未來一年,企業要面臨三大首要資安風險是勒索軟體資安事件、社交工程手段和駭客的威脅,次要風險則是釣魚網站和資安漏洞(零時差漏洞)的攻擊事件。這五項是企業資安資源未來一年必須優先聚焦的課題。
這幾項威脅向來都是企業最大的資安挑戰,尤其是勒索軟體資安事件,每一年都會爆發出多起大型企業勒索攻擊的事件,也會在上市公司重大訊息發布中看到災情,這些還是實際曝光的災情,更有許多沒有揭露的企業災情。
這也是為何,勒索軟體資安事件,連續四年在企業資安風險圖中,都名列在首要風險項目中。今年有5成企業評估,一但發生勒索軟體資安事件,將對企業帶來高度嚴重的衝擊,破4成企業更擔心,自己在未來一年,極有可能會遭遇到勒索軟體資安事件。勒索軟體資安事件,不論發生風險或衝擊影響,都比去年更高,是2024~2025的首要資安風險。
今年更有多個勒索軟體組織開始鎖定亞洲,甚至鎖定臺灣的企業。例如勒索軟體駭客組織GhostSec、Stormous發起的雙重勒索攻擊,利用GhostLocker 2.0勒索軟體,鎖定中東、非洲、亞洲的企業。而去年4月開始攻擊美國、韓國的勒索軟體駭客組織RA World,攻擊範圍也擴展到德國、印度,現在更鎖定臺灣和拉丁美洲。這些都是企業得留意警戒的威脅來源。
若從產業別來看勒索軟體資安事件,過半數一般製造業,淨比例高達56%(淨比例指極可能發生的企業占比減掉極不可能發生的企業占比),超過半數企業將這項資安事件視為未來一年不可避免的挑戰。
從資安長自評預估的災情衝擊來看,除了金融業和政府學校,其餘一般製造、高科技、服務和醫療業都將勒索軟體視為衝擊最大的威脅,尤其醫療業者,每三家就有兩家擔心,一但發生,就會帶來大災情。
不過,勒索軟體資安事件其實是一個落後的綜合型指標,駭客得先入侵企業,暗中竊取資料後才能展開勒索。系統面的資安漏洞防護能力不足,員工經常遭遇的社交工程威脅,都會是引爆勒索軟體資安事件的起火點。從今年大調查看到,半數企業擔心自己會發生這個災情,這個龐大的威脅感,也影響了企業未來一年的資安防護布局和規畫,一方面得防堵各種駭客入侵,資料遭竊取的可能性,另一方面也得強化資料備份和還原的能力。
在各種攻擊途徑中,社交工程手段是企業最需警戒的途徑,遠高於釣魚網站、商業郵件詐騙、第三方跳板等。超過36%企業評估明年會遭遇來自這類手法的攻擊。在各產業中,近6成政府學校、破4成金融業和醫療業,都擔心今年到明年極可能發生社交工程攻擊。阻斷社交工程攻擊途徑的最好對策,也是最關鍵的就是員工資安素養的訓練,提供更多手法講解、演練測試來提高員工的警覺,同樣是今年的重要資安防護課題。
駭客年年都是對企業威脅最大的攻擊者,今年也不例外,而且是今年名列資安風險圖中,對整體產業威脅程度名列第三的風險項目,僅次於勒索軟體資安事件和社交工程攻擊。趨勢科技在2024年3月初發布的2023年資安威脅態勢報告就提醒,從2023年初至今活躍的Earth Estries駭客組織,擅長發動躲避防禦的APT攻擊。特別鎖定臺灣等國的政府機關與科技業,運用多種後門和駭客工具來將攻擊降級,藉此閃避偵測系統。一方面企業得將資安防禦左移,提前到攻擊前期,提高發現可疑行為的機會,另一方面,企業也得了解各種新興的駭客入侵、攻擊案例來掌握可能的威脅手法。
兩項資安威脅的衝擊程度預估更大,一項威脅則在未來一年更多企業預期會遭遇
今年還有三項企業必須留意的資安態勢變化,「以雲端供應商為跳板的攻擊」、「ChatGPT/GAI成為輔助攻擊工具」以及「資安漏洞(零時差漏洞攻擊)事件」,前這兩項威脅預估可能帶來的衝擊程度,也比去年更高,而最後一項則有明顯有更多企業自認明年會遭遇。這三項都是企業數位轉型和擁抱新興科技時,得面對的資安新課題。
在2023年,ChatGPT成了許多企業積極嘗試的熱門新興技術,但是,也淪為攻擊者的攻擊強化工具,用來展開各種自動化的入侵攻擊,或是變造更細緻的釣魚手段,甚至是設計高度客製化的社交工程手段。企業得更多方面的強化作為,來因應這些伴隨而來的風險。整體產業約有一成企業評估未來一年極可能遭遇此威脅,從產業來看,高科技製造業最擔心GAI工具遭濫用的威脅,多達2成高科技業者評估未來一年會遭遇此威脅,另外也有一成多醫療業者同樣擔心這類威脅。
而上雲資安威脅在這幾年逐漸浮現,來自企業大力推動IT現代化,積極上公雲的緣故,尤其是金融業與醫療業,主管機關在這兩年都大幅放寬了上雲的法遵規範,讓企業更積極上雲,但也同時提高了企業上公雲風險。
最後一項「資安漏洞和零時差漏洞攻擊事件」,這是企業資安長明年擔心的風險。隨著越來越多零時差漏洞的曝光,甚至出現了少數CVSS十分滿分的威脅,更考驗企業快速更新和修補系統的能力,否則就得面臨鎖定新漏洞的攻擊手法。
今年我們新增加了一項資安風險項目「被植入竊資軟體/後門木馬」,一調查,馬上就進入了衝擊高風險高的第一象限,與其他一次性的資安災情不同,後門木馬的威脅是長期的威脅,一但植入後,會暗中蒐集各種企業內部情報和防護弱點,不斷外洩各種機敏資料。企業一方面必須強化自身的資安偵測能力,另一方面則需要更快擁抱零信任架構,才能阻擋惡意程式在內部橫向移動的可能性,將威脅阻斷在少數區域中。
企業資安風險圖製作說明:
今年是第四度發布臺灣企業資安風險圖,延續前3年作法,在2024年CIO和資安大調查中,請填答的資安長和資訊長們,針對三大類共25項臺灣常見的資安風險項目(今年新增了一項),評估未來一年的發生風險高低,以及對企業帶來的衝擊高低。最後歸納彙整出這一份臺灣在地的未來資安風險地圖,用來反映出臺灣大型企業從2024到2025年可能面臨的威脅。
這25項風險分為三類,第一類是攻擊者的威脅,包括了來自內部人員(包括離職員工)、國家級攻擊組織、第三方或委外業者、網路犯罪者、駭客等5類攻擊者所發動的網路攻擊。第二類是攻擊途徑,包括了8種威脅途徑,分別是用ChatGPT/GAI輔助的攻擊、以第三方為跳板、以雲端供應商為跳板、行動裝置與App、物聯網、透過社交工程手段、透過商業郵件詐騙BEC以及利用釣魚網站發動的資安攻擊。
最後一類是攻擊事件,包括了12種資安威脅,包括了勒索軟體資安事件、資安漏洞/零時差漏洞攻擊事件、資料外洩事件、被植入竊資軟體/後門木馬、雲端服務/網路服務資安事件、顧客資安事件、假訊息不實資訊事件ChatGPT類服務資安事件、軟體供應鏈資安事件、國家關鍵基礎設施癱瘓事件 、深偽技術冒用事件和 挖礦攻擊。
為了涵蓋更完整也更即時的威脅態勢,在今年調查中,我們也進行了部分風險項目名詞用語的調整。我們將去年的「ChatGPT資安事件」和「ChatGPT成為輔助攻擊工具」調整為「ChatGPT類服務資安事件」和「ChatGPT/GAI輔助的攻擊」,來涵蓋更多生成式AI或類似ChatGPT的服務。另外,「資安漏洞事件」和「行動應用的攻擊」也略調整為「資安漏洞/零時差漏洞攻擊事件」和「行動裝置與App的攻擊」。並且新增加了「被植入竊資軟體/後門木馬」這項風險項目。
座標軸上的數值,是以淨比例來計算,舉例解釋若一項風險極可能發生的企業比例,減去認為極不可能發生的企業比例,得到50%,在X軸的座標值就是0.5,Y軸衝擊值的計算也同樣是高度衝擊的企業比例,減去低度衝擊的企業比例得到的淨比例。
企業如何繪製自己的資安風險圖
企業可以參考這張企業資安風險圖所列出的25項資安風險項目,針對每一項進行評分,針對衝擊程度,從最低1分,到最高10分,而同一個項目未來發生可能性也同樣分為10級,1分最不可能發生,而10分代表最可能發生。
若一項風險企業自評分數是衝擊8分,發生可能性4分,則採取這個公式(自評分數-5)/5,以衝擊8分來看,(8-5)/5就是0.6,而發生可能性4分是 (4-5)/5=-0.2,這就可以得到該項目的座標位置(0.6,-0.2),X軸是風險值,Y軸是衝擊值,企業可以一一計算出25項風險每一項的座標值,參考這張整體資安風險圖座標軸上的數值長度,繪製出自家風險的位置,可以用來跟彙整自422家企業的整體資安風險圖相比較,來看出,自家風險和產業一般性風險的分布差異上。
如何參考企業資安風險圖來評估自家風險
企業可以繪製一份自家公司的資安風險圖,來和這份彙整了422家企業資安主管和資訊主管評估結果的企業資安風險圖,來相比較,來了解,自己所意識到的資安風險,與整體產業資安態勢之間的落差,重新考慮未來一年資安人力與資源的投入優先順序。例如,企業自評風險較低,但在業界資安風險圖中威脅排名高的風險項目,就是企業得挹注更多資安資源來因應的熱區,這是業界格外擔心但企業自己沒有察覺的重點。另一方面,針對那些企業自評風險高,但是業界風險圖中排名低的項目,可以考慮降低排序來節省資源,轉作用於其他優先度更高的風險項目。
整體產業未來一年資安態勢大剖析
半數企業預估未來一年最可能遭遇到勒索軟體資安事件,社交工程手段和駭客攻擊也是2024年首要風險。企業資安資源還有餘裕,名列第一象限的11項高風險、高衝擊的資安項目,都是2024年需要警戒。資安漏洞和零時差漏洞今年明顯受到更多CISO的關注。
企業資安風險圖製作說明 在iThome 2024年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色字的項目為今年發生風險明顯提高者,綠色字項目是今年預估衝擊明顯提高者,兩項皆明顯提高者為紫色文字。
問卷說明 大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家,其中62.8%填答者為企業資安最高主管。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19