【iThome 2024資安大調查系列1｜資安態勢篇】優先因應三大首要風險，小心零時差漏洞風險今年明顯提高

未來一年，企業要面臨三大首要資安風險是勒索軟體資安事件、社交工程手段和駭客的威脅，次要風險則是釣魚網站和資安漏洞（零時差漏洞）的攻擊事件。這五項是企業資安資源未來一年必須優先聚焦的課題。

這幾項威脅向來都是企業最大的資安挑戰，尤其是勒索軟體資安事件，每一年都會爆發出多起大型企業勒索攻擊的事件，也會在上市公司重大訊息發布中看到災情，這些還是實際曝光的災情，更有許多沒有揭露的企業災情。

這也是為何，勒索軟體資安事件，連續四年在企業資安風險圖中，都名列在首要風險項目中。今年有5成企業評估，一但發生勒索軟體資安事件，將對企業帶來高度嚴重的衝擊，破4成企業更擔心，自己在未來一年，極有可能會遭遇到勒索軟體資安事件。勒索軟體資安事件，不論發生風險或衝擊影響，都比去年更高，是2024～2025的首要資安風險。

今年更有多個勒索軟體組織開始鎖定亞洲，甚至鎖定臺灣的企業。例如勒索軟體駭客組織GhostSec、Stormous發起的雙重勒索攻擊，利用GhostLocker 2.0勒索軟體，鎖定中東、非洲、亞洲的企業。而去年4月開始攻擊美國、韓國的勒索軟體駭客組織RA World，攻擊範圍也擴展到德國、印度，現在更鎖定臺灣和拉丁美洲。這些都是企業得留意警戒的威脅來源。

若從產業別來看勒索軟體資安事件，過半數一般製造業，淨比例高達56%（淨比例指極可能發生的企業占比減掉極不可能發生的企業占比），超過半數企業將這項資安事件視為未來一年不可避免的挑戰。

從資安長自評預估的災情衝擊來看，除了金融業和政府學校，其餘一般製造、高科技、服務和醫療業都將勒索軟體視為衝擊最大的威脅，尤其醫療業者，每三家就有兩家擔心，一但發生，就會帶來大災情。

不過，勒索軟體資安事件其實是一個落後的綜合型指標，駭客得先入侵企業，暗中竊取資料後才能展開勒索。系統面的資安漏洞防護能力不足，員工經常遭遇的社交工程威脅，都會是引爆勒索軟體資安事件的起火點。從今年大調查看到，半數企業擔心自己會發生這個災情，這個龐大的威脅感，也影響了企業未來一年的資安防護布局和規畫，一方面得防堵各種駭客入侵，資料遭竊取的可能性，另一方面也得強化資料備份和還原的能力。

在各種攻擊途徑中，社交工程手段是企業最需警戒的途徑，遠高於釣魚網站、商業郵件詐騙、第三方跳板等。超過36%企業評估明年會遭遇來自這類手法的攻擊。在各產業中，近6成政府學校、破4成金融業和醫療業，都擔心今年到明年極可能發生社交工程攻擊。阻斷社交工程攻擊途徑的最好對策，也是最關鍵的就是員工資安素養的訓練，提供更多手法講解、演練測試來提高員工的警覺，同樣是今年的重要資安防護課題。

駭客年年都是對企業威脅最大的攻擊者，今年也不例外，而且是今年名列資安風險圖中，對整體產業威脅程度名列第三的風險項目，僅次於勒索軟體資安事件和社交工程攻擊。趨勢科技在2024年3月初發布的2023年資安威脅態勢報告就提醒，從2023年初至今活躍的Earth Estries駭客組織，擅長發動躲避防禦的APT攻擊。特別鎖定臺灣等國的政府機關與科技業，運用多種後門和駭客工具來將攻擊降級，藉此閃避偵測系統。一方面企業得將資安防禦左移，提前到攻擊前期，提高發現可疑行為的機會，另一方面，企業也得了解各種新興的駭客入侵、攻擊案例來掌握可能的威脅手法。

兩項資安威脅的衝擊程度預估更大，一項威脅則在未來一年更多企業預期會遭遇

今年還有三項企業必須留意的資安態勢變化，「以雲端供應商為跳板的攻擊」、「ChatGPT/GAI成為輔助攻擊工具」以及「資安漏洞（零時差漏洞攻擊）事件」，前這兩項威脅預估可能帶來的衝擊程度，也比去年更高，而最後一項則有明顯有更多企業自認明年會遭遇。這三項都是企業數位轉型和擁抱新興科技時，得面對的資安新課題。

在2023年，ChatGPT成了許多企業積極嘗試的熱門新興技術，但是，也淪為攻擊者的攻擊強化工具，用來展開各種自動化的入侵攻擊，或是變造更細緻的釣魚手段，甚至是設計高度客製化的社交工程手段。企業得更多方面的強化作為，來因應這些伴隨而來的風險。整體產業約有一成企業評估未來一年極可能遭遇此威脅，從產業來看，高科技製造業最擔心GAI工具遭濫用的威脅，多達2成高科技業者評估未來一年會遭遇此威脅，另外也有一成多醫療業者同樣擔心這類威脅。

而上雲資安威脅在這幾年逐漸浮現，來自企業大力推動IT現代化，積極上公雲的緣故，尤其是金融業與醫療業，主管機關在這兩年都大幅放寬了上雲的法遵規範，讓企業更積極上雲，但也同時提高了企業上公雲風險。

最後一項「資安漏洞和零時差漏洞攻擊事件」，這是企業資安長明年擔心的風險。隨著越來越多零時差漏洞的曝光，甚至出現了少數CVSS十分滿分的威脅，更考驗企業快速更新和修補系統的能力，否則就得面臨鎖定新漏洞的攻擊手法。

今年我們新增加了一項資安風險項目「被植入竊資軟體/後門木馬」，一調查，馬上就進入了衝擊高風險高的第一象限，與其他一次性的資安災情不同，後門木馬的威脅是長期的威脅，一但植入後，會暗中蒐集各種企業內部情報和防護弱點，不斷外洩各種機敏資料。企業一方面必須強化自身的資安偵測能力，另一方面則需要更快擁抱零信任架構，才能阻擋惡意程式在內部橫向移動的可能性，將威脅阻斷在少數區域中。

企業資安風險圖製作說明：

今年是第四度發布臺灣企業資安風險圖，延續前3年作法，在2024年CIO和資安大調查中，請填答的資安長和資訊長們，針對三大類共25項臺灣常見的資安風險項目（今年新增了一項），評估未來一年的發生風險高低，以及對企業帶來的衝擊高低。最後歸納彙整出這一份臺灣在地的未來資安風險地圖，用來反映出臺灣大型企業從2024到2025年可能面臨的威脅。

這25項風險分為三類，第一類是攻擊者的威脅，包括了來自內部人員（包括離職員工）、國家級攻擊組織、第三方或委外業者、網路犯罪者、駭客等5類攻擊者所發動的網路攻擊。第二類是攻擊途徑，包括了8種威脅途徑，分別是用ChatGPT/GAI輔助的攻擊、以第三方為跳板、以雲端供應商為跳板、行動裝置與App、物聯網、透過社交工程手段、透過商業郵件詐騙BEC以及利用釣魚網站發動的資安攻擊。
最後一類是攻擊事件，包括了12種資安威脅，包括了勒索軟體資安事件、資安漏洞/零時差漏洞攻擊事件、資料外洩事件、被植入竊資軟體/後門木馬、雲端服務/網路服務資安事件、顧客資安事件、假訊息不實資訊事件ChatGPT類服務資安事件、軟體供應鏈資安事件、國家關鍵基礎設施癱瘓事件 、深偽技術冒用事件和 挖礦攻擊。

為了涵蓋更完整也更即時的威脅態勢，在今年調查中，我們也進行了部分風險項目名詞用語的調整。我們將去年的「ChatGPT資安事件」和「ChatGPT成為輔助攻擊工具」調整為「ChatGPT類服務資安事件」和「ChatGPT/GAI輔助的攻擊」，來涵蓋更多生成式AI或類似ChatGPT的服務。另外，「資安漏洞事件」和「行動應用的攻擊」也略調整為「資安漏洞/零時差漏洞攻擊事件」和「行動裝置與App的攻擊」。並且新增加了「被植入竊資軟體/後門木馬」這項風險項目。

座標軸上的數值，是以淨比例來計算，舉例解釋若一項風險極可能發生的企業比例，減去認為極不可能發生的企業比例，得到50%，在X軸的座標值就是0.5，Y軸衝擊值的計算也同樣是高度衝擊的企業比例，減去低度衝擊的企業比例得到的淨比例。

企業如何繪製自己的資安風險圖

企業可以參考這張企業資安風險圖所列出的25項資安風險項目，針對每一項進行評分，針對衝擊程度，從最低1分，到最高10分，而同一個項目未來發生可能性也同樣分為10級，1分最不可能發生，而10分代表最可能發生。

若一項風險企業自評分數是衝擊8分，發生可能性4分，則採取這個公式（自評分數-5）/5，以衝擊8分來看，(8-5)/5就是0.6，而發生可能性4分是 (4-5)/5=-0.2，這就可以得到該項目的座標位置（0.6,-0.2），X軸是風險值，Y軸是衝擊值，企業可以一一計算出25項風險每一項的座標值，參考這張整體資安風險圖座標軸上的數值長度，繪製出自家風險的位置，可以用來跟彙整自422家企業的整體資安風險圖相比較，來看出，自家風險和產業一般性風險的分布差異上。

如何參考企業資安風險圖來評估自家風險

企業可以繪製一份自家公司的資安風險圖，來和這份彙整了422家企業資安主管和資訊主管評估結果的企業資安風險圖，來相比較，來了解，自己所意識到的資安風險，與整體產業資安態勢之間的落差，重新考慮未來一年資安人力與資源的投入優先順序。例如，企業自評風險較低，但在業界資安風險圖中威脅排名高的風險項目，就是企業得挹注更多資安資源來因應的熱區，這是業界格外擔心但企業自己沒有察覺的重點。另一方面，針對那些企業自評風險高，但是業界風險圖中排名低的項目，可以考慮降低排序來節省資源，轉作用於其他優先度更高的風險項目。

整體產業未來一年資安態勢大剖析

半數企業預估未來一年最可能遭遇到勒索軟體資安事件，社交工程手段和駭客攻擊也是2024年首要風險。企業資安資源還有餘裕，名列第一象限的11項高風險、高衝擊的資安項目，都是2024年需要警戒。資安漏洞和零時差漏洞今年明顯受到更多CISO的關注。

 企業資安風險圖製作說明  在iThome 2024年CIO暨資安大調查中，由企業自評各資安項目的兩項指標，一項是該項目對企業帶來的衝擊程度（衝擊極高和衝擊極低），另一項是這個項目未來1年的發生風險（極可能發生與極不可能發生），再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊，位置越往上代表衝擊越大，水平軸是企業未來1 年發生該項目的風險，位置越右，代表可能性越大。紅色字的項目為今年發生風險明顯提高者，綠色字項目是今年預估衝擊明顯提高者，兩項皆明顯提高者為紫色文字。

 問卷說明  大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家，其中62.8%填答者為企業資安最高主管。

 相關報導