iThome
政府與學校所面臨的資安態勢,向來與其他產業有很大的不同,今年也不例外。國家級攻擊組織和一般駭客是未來一年,政府學校的首要資安威脅。這是和其他產業最大的不同。尤其是國家級攻擊組織的威脅,高達4成政府機關資安主管認為,未來一年極可能遭遇這類攻擊,更有6成政府資安主管擔心,一但遭遇,就會帶來重大衝擊。
國家級攻擊組織對政府學校的威脅,在2021、2022年時,雖然都是政府學校資安風險圖第一象限的高衝擊高風險威脅,但在排名上,還落後於社交工程手段、資安漏洞等其他類型的風險,可是,從去年開始,這類攻擊不論在發生風險和衝擊的排名上都明顯提高,在2023年的政府學校資安風險圖中,國家級攻擊組織的威脅,首度成為首要風險,和一般駭客的威脅並列。今年也不例外,這兩大威脅,同樣是2024~2025,政府與學校未來一年最需要警戒的首要風險。
在去年資安風險圖上,次要風險只有一項,但是今年,政府學校所面臨的次要風險項目,增加到了3項,除了社交工程手段之外,還包括了勒索軟體資安事件、資安漏洞(零時差漏洞)攻擊事件。
7項資安風險態勢明顯比去年更嚴重
若比較去年和今年資安風險態勢的變化,高達7項資安風險的威脅態勢明顯比去年更大。首要風險中的國家級攻擊組織的衝擊比去年更大,次要風險中的勒索軟體資安事件不論發生風險或衝擊都明顯提高,其餘兩項,社交工程手段和資安漏洞(零時差漏洞)攻擊事件則是發生風險比去年更高。第一象限風險中,另外還有兩項值得特別留意,釣魚網站威脅的發生風險比去年明顯更高,而資料外洩事件的衝擊也預期會比去年更高。
最後一項態勢不同的資安風險是位於第四象限邊緣的「行動裝置與App的攻擊」,政府資安長預期明顯會比去年帶來更大的衝擊。雖然這項威脅的發生風險較低,但一但發生,可能會出現預料之外的影響。
在這幾年資安即國安政策推動之下,政府學校的資安信心水準在各產業中屬於前段班。若將資安信心水準分成5個等級,極有信心是100分,有信心80,大致有信心60分,只有一點信心40分,沒有信心是20分。以60分(大致有信心)為及格線,整體產業平均是67.1分,政府學校的的信心分數達到72.1分,只有略低於金融業者。
其中,政府學校的資安防護能力哪一項較弱?從NIST CSF網路安全框架2.0版的六大面向來看,治理(Govern)、識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)。政府學校對識別能力(69.8分)的信心最低,但這項能力的信心水準也高於一般製造、高科技製造、服務業和醫療業。
小心中國駭客網攻戰略的三大轉變
政府學校資安主管如何提高對資安風險的識別能力來進行更主動、適當的因應,除了可以參考我們這份2024~2025政府學校資安風險圖上的資安風險分布,來調整資安資源的投入優先順序和步局之外,去年,以資安態勢分析聞名,現為Google Cloud行政總裁的Mandiant創辦人Kevin Mandia,他揭露了對中國駭客網路攻擊戰略最新的分析,有三大轉變值得政府學校資安主管特別留意。
第一項是中國駭客近年逐漸捨棄了社交工程手法,轉為更系統性的挖掘零時差漏洞,一但發現這類漏洞,就有能力一次性發動大規模攻擊,帶來更強大的破壞力。而且第二項改變是,他們不只有計畫性地挖掘零時差漏洞,還經常鎖定網通設備,這幾年多起攻擊事件,後來發現就是中國駭客鎖定知名網通設備零時差漏洞。甚至在2023年1~9月間發現的62個零時差漏洞攻擊,一大部分是中國駭客所為。最後一項改變是,中國駭客網路攻擊朝向複雜匿蹤方式,大量挾持家用或中小企業路由器、IoT等設備,來打造一個遍及全球的網路攻擊跳板,如此複雜的網路跳接,讓調查人員的調查進度緩慢,更難以溯源追查。
這也意味著,政府學校得更留意各項零時差漏洞的通報和修補,一但出現了高風險的零時差漏洞,得盡快修補或先採取緩解、避險的作法。
政府學校在2024年的資安預算平均約2,491萬元,僅次於金融業,但遠高於其他產業,而且,政府學校資安預算連年成長,今年增加了11.8%,高達兩位數,也是各產業中資安預算成長最高者。不過,導致政府學校難以做好資安的最大阻礙因素是,資安人手嚴重不足的問題,高達6成政府學校資安人力不足,另有4成則因系統老舊而讓政府學校難以做好資安,這都是政府資安主管長期的重要課題。受限於法規,政府機構資安人力擴編規模有限,但今年仍有35%政府學校想要招募更多資安人力,其中8成政府機構想要招募具備威脅分析或鑑識能力的人才。
政府學校未來一年資安投資重點仍以基礎端點與網路防護,以及員工資安訓練為兩大重點。不過,今年高達7成政府機關想要推動資安轉型,這個比例也遠高於其他產業,整府機關更積極想要擁抱主動防禦策略、零信任架構、資安左移等新世代資安思維。隨著政府大力展開零信任架構的導入,今年高達41.5%政府學校要導入零信任身分與設備鑑別,26.8%政府機關要導入零信任網路分段,更有24.4%機關要導入到更進階的零信任信任推斷。在零信任架構採用上,政府學校是領先各產業,不論採用廣度和深度都是名列前茅。
10項政府學校未來一年要警戒的高衝擊高風險威脅
整體來說,政府學校在未來一年必須優先警戒的第一象限威脅,共有10項,可分為三大類來看,第一類攻擊者的威脅,包括了來自國家級攻擊組織、駭客和網路犯罪者所發動的攻擊,其次是三種攻擊途徑的風險,包括了社交工程手段、釣魚網站、以第三方為跳板的攻擊的攻擊。以及最後一類的資安攻擊事件也有四種,包括了勒索軟體資安事件、資安漏洞/零時差漏洞攻擊事件、資料外洩事件和被植入竊資軟體/後門木馬等資安風險。文⊙王宏仁
企業資安風險圖製作說明 在iThome 2024年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色字的項目為今年發生風險明顯提高者,綠色字項目是今年預估衝擊明顯提高者,兩項皆明顯提高者為紫色文字。
問卷說明 大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家,其中62.8%填答者為企業資安最高主管。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29