【iThome 2024資安大調查系列2｜資安投資重點】多數企業聚焦識別和防護對策，少數企業展開全面性資安防禦

我們在每年大調查中，照慣例會調查企業每一年的資安投資重點，今年列出了34項資安投資項目，讓企業資安長或資訊長複選。最後，再依據每一項資安投資重點的採用率高低，排列出企業今年的資安投資重點排行榜。

今年的34項資安投資重點內容，和去年的項目有不小的調整，整併了常見的資安基本功，例如將去年名列一的網路安全、IT基礎架構防護、郵件防護，今年合併為「基礎端點與網路防護」，但也新增了更多型態或新崛起的資安防護作法，例如PET隱私強化技術、攻擊面管理，並將零信任資安，在今年區分出更細緻的三項投資重點「零信任身份與設備識別」、「零信任網路分段」、「零信任信任推斷」，試圖更深入了解企業導入零信任的規畫。

從今年資安投資重點排名可以看到，佔據一、二名的基礎端點與網路防護和員工資安訓練，都是企業資安的基本功，過半數列為今年投資重點。異地備援在今年的採用率提高了不少，從去年的41.8%，增加到今年的47.4%，也因此在排名上超越了弱點評估，成為名列第三的資安投資重點。零信任資安去年整體採用率是16.7%，今年綜合三項零信任資安作法（三項至少有做一項）的企業高達33.9%，這也是另一個企業今年格外重視的資安投資方向。  

另外有多項資安投資重點到採用率，明顯比去年提高了不少，像是應用程式安全防護的採用率從去年的21.4%，提高到今年的31%，多了一成企業今年要強化應用程式的安全。雲端安全也從去年的14.7%，今年提高到了19.2%，成為今年名列13名的重點，僅次於零信任身分與設備鑑別。企業對於威脅情資偵測的需求，今年也明顯比去年更迫切，去年要投資威脅情資搜集的企業只有11.3%，今年提高到了17.5％。

除了從企業資安投資重點排名，可以看到企業對於資安投資重點的優先順序之外，在新興科技採用排名中，可以看到針對特定資安類新興技術的採用趨勢，例如DevSecOps（開發安全維運一體化）的採用率，從去年6.9%，今年幾乎是翻倍提高到了17.1%，這也反映出不少企業今年積極推動資安左移，要將安全考量納入軟體開發生命周期前期的企圖。另外，企業對FIDO網路身分識別的採用率也達到16.1%。

不過，與軟體供應鏈安全息息相關的SBOM軟體物料清單，則仍只有少數企業有意採用，這項新興技術的採用率去年採用率約1.4%，雖然今年看似大幅提高到4%，主要來自金融業（7.4%）與高科技業（6.3%）的重視企業增加了不少，但整體產業的採用比例仍然偏低，也屬於採用率後段班的技術。臺灣對SBOM的態度，明顯低於國際間的重視程度。

用網路防禦矩陣來看今年資安投資布局

從今年資安長和資訊長年度目標的排名中可以看到，近半數企業今年要展開資安轉型，3成要推動零信任資安，尤其是金融業與政府學校，更有近半企業將零信任資安列為今年投資重點。

企業在2024年如何布局資安投資，來支援這兩大目標呢？我們將34項資安投資重點，對應到美國銀行首席安全科學家Sounil Yu在2016年發明的網路防禦矩陣CDM（Cyber Defense Matrix）。

CDM是一個5乘5的矩陣，橫軸包括了NIST CSF的五大類別，項目包括：識別、保護、偵測、回應、復原，而縱軸則是以資產類別來畫分，包括了設備、應用程式、網路，資料與人員等項目。這個CDM矩陣在多年前就受到國際間的重視，臺灣過去幾年，也有越來越多的企業參考，作為衡量自家資安防護構面的分析工具。

我們針對今年調查列出的34項資安投資，依據企業在2024年對每一項的採用率數據，分為企業2024年採用率最高的Top10，Top11～20，Top21～30三類，分別以深藍色、淺綠色和紅色來區分，並且界定出每一項資安投資所對應的NIST CSF五大類別，以及可保護的資產類別，再對應到CDM這個矩陣上，可以繪製出2024年企業資安投資的CDM網路防禦矩陣圖。

從今年這張網路防禦矩陣圖中，可以看到Top30採用項目涵蓋的重點分散，多落在保護和識別，也不一定能在不同防禦面向上，涵蓋到各類資產，像是散彈打鳥的瞄準重點，防護性不夠完整。

採用率Top20的項目，納入了零信任資安的三大做法，身分與設備識別、網路分段、信任推斷，因此涵蓋到各類資產的識別和防護。只有少數企業可以更全面的涵蓋到偵測、回應和復原。

企業可以將自己的資安投資重點，繪製出同樣的網路防禦矩陣，來和整體產業的CDM矩陣比對，可以用來比較整體產業資安戰略的分布和自家戰略的差異，作為調整資安戰略的參考。

去年臺灣資安大會上，我們也找來Sounil Yu擔任主題演講，他觀察，從過去數十年的資安防護發展態勢來看，可依序對應到NIST網路安全框架（CSF）的5大核心功能，分別是：識別、保護、偵測、回應，如今，到了2020年代，「這會是一個「復原」的時代，或者說是重視復原力、韌性的時代。」他說。像是勒索軟體攻擊、資料刪除惡意程式，都從根本上挑戰了企業的恢復能力。

他帶來近年力推的新資安觀念D.I.E.（分散式、不可竄改、短暫的）給臺灣企業，針對重要資產採取傳統C.I.A和CDM矩陣來規畫防護策略，而針對另一類安全性需求低的資產，則可採取D.I.E概念，在系統設計階段就開始考慮。

透過今年資安大調查所揭露的臺灣大型企業CDM矩陣圖和2024年臺灣企業資安風險圖，可供企業對比自家CDM矩陣圖與整體產業矩陣圖的策略落差，來思考是否有調整資安布局的必要。

企業可以如何繪製網路防禦矩陣

網路防禦矩陣是一個5乘5的矩陣，橫軸包括了NIST CSF的五大類別，項目包括：識別、保護、偵測、回應、復原，縱軸則是涵蓋了企業資安所需防護的資產類別，包括了設備、應用程式、網路，資料與人員等項目。

另外對於34項資安投資重點，我們一一對應出每一項所對應的CSF五大類別，以其可防護的資產類別。可參考我們整理的CDM對應圖，內有34項資安投資各自所對應的項目。例如軟體開發安全，對應到CSF的「識別」與五項資安資產都有。或者像威脅情資則對應到「偵測」類別與「設備」、「應用程式」、「網路」等三類資產。

因此，依據每一項資安投資重點所對應的橫軸和縱軸可以繪製出一個或多個方形色塊，有些資安投資項目具有上下包含關係，例如軟體開發安全就包含了源碼檢測和軟體供應鏈安全，在CDM矩陣上，我們就會將源碼檢測和軟體供應鏈安全這兩項的方形色塊，繪製在軟體開發安全方形色塊之中。

以此類推，攻擊面管理就包含了弱點評估和滲透測試。資安監控中心雖然可以涵蓋了威脅情資和SOAR這兩項，但又不盡然能夠全面涵蓋，因此，在繪製上，我們會將威脅情資和SOAR這兩項方形色塊的範圍，些微超出了資安監控中心的方形色塊。企業也可參考這些繪製原則來製作出自己的網路防禦矩陣。

另外在顏色上，區分成深藍、淺藍和紅色，用來對應出Top 10（25～50％企業採用率，Top11～20（約11～25%採用率）和Top21～30（約5～11%採用率）的資安投資重點，這也分別代表了過半數企業的採用重點，2成積極企業的採用重點和少數領先企業的採用重點。企業也可按照自己的優先順序，區分出這三類，一一用顏色來區分，更可以看出資安投資重點的策略分布情況。

 問卷說明  iThome資安大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家。填答者中，企業CIO則占了71.8%，企業資安最高主管則占了62.8%。產業分布上，一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3％、政府與學校則占了9.7%。