iThome

連續四年,勒索軟體資安事件是一般製造業威脅最大的資安風險項目,而且發生風險連年提高,超過5成一般製造業者自認未來一年極可能遭遇這類事件,擔心這項威脅的企業,比去年還多了5%。過半一般製造業者尤其擔心,一發生就會帶來重大的衝擊。這項威脅也是對一般製造業衝擊程度最高的項目。

勒索軟體是一般製造業首要風險

雖然勒索軟體是製造業最擔心的威脅,但過去幾年受害的企業,大多是大型製造業者,但從2022年開始,許多駭客組織轉型成勒索軟體即服務(RaaS,Ransomware as a Service)的模式之後,更多發動攻擊的犯罪團隊出現,攻擊目標,在2023年開始從大型企業,轉向中型企業,甚至是中小企業,尤其一般製造業的資安防護人力和資源都嚴重不足,更容易遭駭。

從勒索軟體態勢分析機構Coveware在2024年第一季勒索災情分析報告中,百人規模以下遭攻擊企業的比例達到28%,中型企業遭攻擊的數量這2年更出現持續提高的趨勢。不過,從攻擊途徑來看,途徑不明的比例越來越高,在2024年第一季將近5成,這也顯示出攻擊者的手法越來越多元或越來越懂得隱匿行蹤,而透過釣魚手法入侵來勒索的比重大幅減少,另外,透過軟體弱點入侵的比例則與2023年相當,約占攻擊事件的一成多,值得注意的是,透過遠端存取入侵的攻擊途徑則有增加的趨勢,這是一般製造業者要降低勒索軟體威脅,必須特別警戒的資安重點,若能減少遭遠端存取的風險,也能同時降低勒索軟體攻擊的風險。

因為這幾年一般製造業不時傳出勒索軟體資安事件,因此也相當注重資料的備援,今年有48%一般製造業將異地備援列為資安投資重點。這些努力,資安長評估,未來一年,勒索軟體資安事件對一般製造業的衝擊規模,略微下降,有9%一般製造業者今年開始不再將勒索軟體視為高衝擊的威脅。

不過,在對企業資安能力的信心上,一般製造業是各產業中偏低者,將信心水準分成5個等級,極有信心是100分,有信心80,大致有信心60分,只有一點信心40分,沒有信心是20分。以60分(大致有信心)為及格線,整體產業平均是67.1分,但一般製造業的信心分數只有64.4分。若進一步從NIST CSF網路安全框架2.0版的六大面向來看,治理(Govern)、識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)。一般製造業對自己的復原能力(64.4分)和保護能力稍有信心(66.4分),但對偵測能力的信心最弱,平均只有61.7分,在及格邊緣。也就是說,在發現遭遇到網路資安事件的偵測能力上,一般製造業者普遍對自己比較沒有信心。導致一般製造業難以做好資安的阻礙因素,員工資安意識不足是名列第一的原因,高達48%的一般製造業者自評是該項原因,其次是預算編列不足。

一般製造業在2024年的平均資安預算平均約360萬元,是各產業中最低者,但和2023年相比,他們的預算其實達到兩位數的成長,大幅增加了約12.1%,成長力道是各產業中第二高者,這也反映出一般製造業今年格外正視資安的態度。高達64%的企業將強化資安視為今年的IT優先目標,甚至有42.7%的企業要進一步推動資安轉型,採取如主動防禦作法、資安左移,另有24%一般製造業今年要投資零信任身分與設備鑑別。

釣魚網站、社交工程、BEC和駭客都是次要風險

除了防範勒索軟體的威脅之外,一般製造業未來一年還得留意四項次要資安風險,包括了來自釣魚網站、社交工程手段、商業郵件詐騙這三個攻擊途徑的威脅,以及來自駭客發動的攻擊。參與調查的資安長們自評,社交工程手段的發生風險雖然比去年略低,但是一但發生了,帶來的衝擊預期會明顯比去年更高。因此,過半數一般製造業,今年會投入資源投入員工資安訓練,來提升他們的資安意識,因為這是對抗社交工程手段的關鍵。

不過,值得注意的是,高達22.7%一般製造業者認為,高層資安意識不足是一大資安阻礙,甚至也有18.7%的一般製造業認為高層低估了創新應用的資安風險(例如積極嘗試ChatGPT,卻沒有足夠的資安配套)。未來一年,一般製造業強化人員資安訓練的同時,還得格外重視對高層的資安培訓。

在這份企業資安風險圖中,雖然列出了25項資安風險項目,當企業資安資源有限時,可以先將資安資源投入到第一象限的資安風險項目,也就是發生風險高且對企業衝擊影響高的項目,整體來看,一般製造業在2024~2025年要留意的第一象限風險有11項,除了前面提過的首要風險(勒索軟體資安事件)和四項次要風險(釣魚網站、社交工程手段、商業郵件詐騙、駭客),另外還可以留意網路犯罪者、資安漏洞/零時差漏洞攻擊事件、被植入竊資軟體/後門木馬、資料外洩事件、以第三方為跳板的攻擊,以及ChatGPT/GAI成為輔助攻擊工具的威脅。

還有一項威脅還不大,但是發生風險明顯比去年增加不少的資安風險,就是假訊息不實資訊事件的影響。今年比去年多了6%的一般製造業者,評估自己未來一年極可能發生這類資安事件,因而開始提高警覺。

值得提醒的是,在2024年3月爆發了XZ程式庫遭植入後門事件,震驚了整個IT業界,也讓國外再度掀起一股軟體供應鏈安全威脅的緊張氛圍,但臺灣的一般製造業是對軟體供應鏈安全最無感的產業,從今年資安大調查可以看到,在各產業中,多達19%的一般製造業者認為,自己在未來一年極不可能遭遇到軟體供應鏈資安事件,這個不在乎的比例遠高於其他產業。

但從XZ程式庫後門事件來看,差一步就在Linux作業系統中開了後門,幾乎會影響到所有的企業。一般製造業者不能再輕忽這類風險的發生可能性,也得保持關注,一但資安態勢提高危險程度,就得跟的提高警戒層級,不能再以爲自己不會遭遇到這類事件的威脅,而毫無作為。文⊙王宏仁

 

 企業資安風險圖製作說明  在iThome 2024年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色字的項目為今年發生風險明顯提高者,綠色字項目是今年預估衝擊明顯提高者,兩項皆明顯提高者為紫色文字。

 問卷說明  大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家,其中62.8%填答者為企業資安最高主管。

 相關報導 

熱門新聞

Advertisement