iThome
對於現代人而言,網路資訊環境日益複雜,大家都深有所感。近年來,從智慧型手機的普及、雲端服務的盛行,一直到疫情期間居家辦公的需求激增,現在更是有生成式AI的迅速崛起,增添更多變數。
這些新技術與態勢的轉變,不僅是百年難得的機遇,也伴隨全新的風險,導致企業組織背後的IT與資安單位,面臨前所未有的挑戰,例如,BYOD與行動應用的普及、混合雲與多雲架構的管理,以及遠端存取成駭客攻擊焦點等。
如今,還有生成式AI加劇DeepFake問題,也帶來AI幻覺等不同風險,攻擊者亦濫用新興AI技術,發動更多逼真網釣、認知作戰內容,還能利用AI強化攻擊系統與竊取資料的技術。
隨著2025年的到來,我們該如何看待現在的網路安全局勢變化?許多專家都會引用世界經濟論壇(WEF)發布的全球網路安全展望報告,結合全球經濟角度,從更多元的視野審視此一問題。
線上詐騙與各式網路威脅活動層出不窮,複雜程度加劇
你對網路威脅的想像是什麼?首先可能是「網路詐騙」消息,因為時常出現在新聞報導,這並非臺灣獨有的挑戰,所有國家與地區皆面臨各式各樣的網路詐騙挑戰,並對經濟帶來極大影響。
例如,全球防詐聯盟(GASA)每年都會發布全球詐騙現況報告,指出各國面臨不同的主流詐騙情境與態勢。以2023年為例,全球詐騙損失超過1兆美元,有些國家的損失甚至達GDP的3%。
根據美國聯邦調查局(FBI)旗下網路犯罪投訴中心(IC3)的估計,2023年美國因網路犯罪造成的損失,已超過125億美元(約4,100億元)。光是「投資詐騙」一項就有3.9萬案件被受理,平均每日108件,造成45億美元損失,躍升為近兩年最猖獗的網路犯罪型態。此外,針對企業的「商業電子郵件詐騙(BEC)」依然嚴峻,2.1萬受理案件就造成近30億美元損失,並且持續比前一年度更高,相當驚人。
對於企業政府而言,關注的網路安全風險其實有更多的類型。
以我們每年進行的iThome大調查結果來看,區分為網路釣魚/社交工程攻擊、資安漏洞濫用、勒索軟體資安事故,以及BEC詐騙、被植入竊資軟體或後門木馬、瀏覽惡意網站、DDoS攻擊等。而近年還有GenAI風險管控的做法,亦成為臺灣企業最新的關注重點。
若從資安業者揭露的種種威脅態勢來看,也涉及幾項關鍵議題,包括:APT(進階持續性攻擊)、供應鏈攻擊、零時差漏洞利用的威脅更加嚴峻,以及勒索軟體即服務(RaaS)、網釣即服務(PhaaS)盛行帶來的影響等。
上述的區分也突顯我們面臨的資安威脅,種類相當廣泛,彼此之間可能也有盤根錯節的關聯。
原因在於,每個威脅或技術層面,都有各自複雜性的議題,而且每一項都會隨著時間而持續演進,或是因為其他新技術的出現,讓老舊攻擊手法又升級。
不僅如此,在全球技術趨勢轉變的影響下,例如,IT與OT的融合,雲地混合的場景,也都持續帶來不同層次的資安管理挑戰。
WEF解析網路安全複雜問題,強調從6大因素交互影響看待
縱觀世界資安情勢的變化,WEF發布的全球風險報告,多年來受到非常多人的引用,而根據最新的2025年度報告指出,全球10大風險雖然仍以環境風險為主,但有3項科技風險的威脅大增,成為各界關注焦點。
尤其是「錯誤資訊與假訊息」因AI出現大幅加劇其風險,另兩項風險也不容忽視,分別是「網路間諜活動與戰爭」,以及「AI技術的不良後果」。
在此同時,WEF亦發布《2025年全球網路安全展望》報告,針對網路安全的複雜性該如何解讀的問題,特別針對6大因素探討。這點令我們十分印象深刻,因為可以帶給大家不同的審視角度。
這些因素分別是:網路犯罪技術精進、地緣政治緊張局勢、供應鏈相互依存關係、法規要求、AI與新興科技、網路安全技能缺口。更重要的是,它們同時也在交互影響,是造成網路安全日益複雜的主因。
換言之,目前我們所面臨的資安威脅態勢,不只是網路犯罪技術持續進化,形成更加精密的攻擊模式,另也降低攻擊門檻而擴大攻擊規模,加劇資安威脅。還有地緣政治的緊張,使整體環境更加充滿變數,供應鏈依賴程度的增加,也導致風險變得更不透明且難以預測,再有AI與新興技術的快速發展,又帶來了新的資安弱點與威脅。
另外,全球法規不斷增加與變化,這也造成企業面臨更高的合規壓力,在此同時,上述種種問題也都受到資安人才技能短缺的影響,造成進一步削弱了企業的風險管理能力。
地緣政治影響網路安全生態,供應鏈依賴也成挑戰
從WEF統整的上述因素來看,對照iThome過去一年的資安新聞報導,有許多相關實際案例呼應。
國家資助駭客網路間諜攻擊大增
例如,在地緣政治緊張方面,對網路安全生態系帶來顯著的影響,國家資助駭客組織(State-Sponsored)的網路間諜攻擊,這十年越加嚴峻。
例如,2024年底,多國電信業遭中國駭客組織入侵的消息,再次突顯其嚴重性,尤其美國同時發現多家電信業遭中國駭客Salt Typhoon入侵;還有許多精心設計的供應鏈攻擊、零時差漏洞利用的入侵與竊密攻擊事件,背後多半也都是國家級駭客所為。
微軟在2024年10月發布的2024年度數位防禦報告,也提供相關證據。這當中揭露2024年最常被國家級駭客鎖定攻擊的國家,美國的情況最嚴重,其次為以色列、烏克蘭、阿拉伯聯合大公國、英國與臺灣、南韓。我們認為,這也是反映地緣政治的衝突局勢。
關鍵CI與海纜通訊的安全危機持續升溫
隨著網路威脅進一步發展,針對國家關鍵基礎設施(CI)的攻擊,同樣持續引發各種危機。尤其是與OT安全有關油、水、電產業,雖然全球都更加重視這方面的資安,但事件仍然不斷發生,像是2024年10月,美國最大水利公用事業American Water Works遭駭客入侵。
甚至,過往並未受到熱烈關注的海底電纜,如今也成為新的實體安全焦點。因為,位於波羅的海的海底電纜,先前發生遭中國船隻疑似蓄意切斷的事故,臺灣最近幾個月以來,也面臨同樣的問題,像是臺馬與臺澎的海纜,都發現遭中國船隻疑似蓄意破壞。
供應鏈集中風險備受探討
在供應鏈依賴導致的重大危機方面,2024年7月的CrowdStrike軟體更新出包,造成全球電腦大當機就是一例。由於其用戶數量龐大,產品更新出問題而造成許多企業Windows電腦當機,同時也衝擊許多關鍵民生服務的運作。
這次事件的發生,使得多項議題受到關切。例如,面對駭客入侵越來越刁鑽的態勢,促使資安偵測技術須深入作業系統的底層,這也導致作業系統平臺暴露在更多的風險之下;再者,全球電腦大當機事件,造成金融、零售、航空服務大亂,甚至影響醫療、媒體、鐵路運輸與911緊急救,因此IT系統風險過於集中的議題,更是受到各界探討。
供應鏈日益複雜與高度依賴狀況依舊
此外,若從資安研究人員持續發布的漏洞攻擊研究結果來看,亦顯現出當今資訊系統的複雜程度不斷提升。而且,許多缺乏安全開發設計的老舊系統仍在使用,甚至不安全的底層元件,異質系統之間的溝通聯繫,也導致企業難以全面掌握供應商的資安狀況。
審視網路犯罪領域變化,從經濟面與技術面剖析
關於網路犯罪技術持續精進,2025年我們要注意哪些重點?這有兩個面向,一是網路犯罪商業模式的持續演進,另一是AI助長網路犯罪。
網路犯罪黑色產業變得市場經濟化
首先,WEF指出,網路犯罪即服務(Cybercrime-as-a-Service,CaaS)已成全球網路犯罪市場的主流商業模式。
雖然WEF沒有對此更深入解釋,但事實上,我們在許多資安業者的研究揭露中,已經看到太多這方面的消息,有多種網路犯罪商業模式的興起到普及,包括:勒索軟體即服務(RaaS)、網釣即服務(PhaaS)、詐欺即服務(FaaS),分散式阻斷服務(DDoS)攻擊也有租賃服務等,還有專門販售入侵管道的初始入侵掮客(IAB),以及與存取即服務(AaaS)也成蓬勃發展的黑色產業。
過去大家可能分別看待網路犯罪議題,但若是通盤審視,我們確實可看出企業組織面臨這類挑戰的威脅,已經越來越巨大。雖然已有多國執法單位聯合資安業者採取行動取締,但現階段仍感到如同野火燒不盡的狀況一般。
較特別的是,WEF另還指出網路犯罪與傳統組織犯罪的結合之後,可能改變網路犯罪的性質,對社會帶來更大的影響。像是東南亞地區有許多人被誘拐至詐騙工廠拘禁,並且從事個資竊取、假訊息傳播與社交工程詐騙。
AI成為網路犯罪的催化劑
在AI助長網路犯罪方面,WEF指出,攻擊者利用AI強化網釣攻擊與社交工程攻擊的情形,在2024年已越來越多見;生成式AI的快速發展,也讓惡意軟體的開發、自動化漏洞的利用,以及攻擊的部署,都變得比過去更容易,使得我們身處的威脅態勢更嚴峻。
以Deepfake技術為例,相關的詐騙將嚴重衝擊企業與個人,尤其是偽冒企業高層影像、聲音與文字風格的情形。我們在2024年也實際看到威脅事件,有攻擊者利用Deepfake技術來實施傳統的商業電子郵件詐騙(BEC)。
2024年1月,香港警方指出一家跨國公司香港分行員工遭遇Deepfake詐騙,原因是駭客寄送釣魚郵件、假冒總部財務長召開視訊會議,導致員工依照上級指示轉帳,結果被騙走2,500萬美元(約8.2億元)。到了2024年5月,英國工程公司Arup證實此次資安事件。
我們認為,此案的特殊之處在於,當人類演進到生成式AI時代,攻擊者已經實際運用這項技術,將BEC詐騙手法重新包裝。不同於過去只是透過郵件管道指示變更匯款帳號,現在還能利用經過偽冒、操縱的影像與聲音,使受害者誤以為他們正在與真正的同事對話。
新興AI、法規變化與資安技能缺口,同樣衝擊資安環境
在地緣政治緊張、供應鏈依賴,以及網路犯罪技術精進之外,WEF還強調其他影響網路安全複雜程度的構面,分別是AI與新興科技、法規要求,以及網路安全技能缺口。
以AI與新興科技而言,除了前面談到新的生成式AI助長網路犯罪,還有生成式AI本身風險與立法方面的議題。WEF認為,企業組織應用生成式AI已成顯著趨勢,但普遍仍缺乏安全AI部署。
以法規要求而言,大多數企業均認為,資安與隱私法規能幫助降低企業生態系統的風險,然而,也有許多企業認為法規的日益繁瑣與碎片化,因此,確實帶來極大的合規挑戰。
至於資安技能缺口方面,全球過去幾年已在關注這樣的問題,WEF指出2024年人才短缺問題還會加劇,因為資安威脅持續擴大,導致企業對於專業資安人才的需求激增,但市場供應仍然嚴重不足,進一步削弱企業的防禦能力。
網路安全風險攸關全體人類發展,企業也要有全面的網路韌性戰略
整體而言,資安領域的變化極快,挑戰也日益嚴峻,我們從全球資安事故與災情的發生與揭露,已經深刻體認到這些變化,對照WEF年初提出從上述六大構面的交互影響,同樣顯現其背後的複雜程度。
對於大眾而言,更充分了解這些概況,才能認識到這是全人類共同面對的挑戰;對企業來說,需建立全面的網路韌性戰略,因應日益複雜的數位環境。
此外,目前全球面臨的另一大挑戰,也不能忽視其影響,那就是網路不平等(Cyber inequity)。大型企業認為自己準備不足的比例減少,但中小型企業認為自己準備不足的比例增多。
因此,全球在資安聯防、資安激勵機制上,不僅要幫助資源有限的企業,以確保整體系統的資安韌性,也要基於有限的資源,做到更有效率的投入。同時,加速應對AI風險、用AI幫助資安的發展,也會是當務之急。
世界經濟論壇揭露資安局勢趨於複雜的6大原因
影響原因 地緣政治緊張局勢
重點觀察與變化
● 地緣政治緊張局勢加劇,導致整體環境更加不確定並影響資安策略。
● 企業更加關切網路間諜活動、智慧財產權竊取的風險。
影響原因 供應鏈相互依存關係
重點觀察與變化
● 供應鏈日益複雜與高度依賴下,第三方軟體漏洞與供應鏈攻擊受企業關注。
● IT系統過於集中可能引發的風險,隨CrowdStrike事故發生而備受探討。
影響原因 網路犯罪技術精進
重點觀察與變化
● 生成式AI助長網路犯罪更精密與更自動化,釣魚攻擊與社交工程攻擊顯著增長,Deepfake技術被廣泛應用於資安詐騙。
● 網路犯罪即服務成全球犯罪市場的主要商業模式,同時生成式AI降低駭客門檻,擴大攻擊規模。
影響原因 法規要求
重點觀察與變化
● 全球法規推動資安韌性,但數量增加與變化使企業面臨更高的合規壓力。
● 不同地區資安法規增加引起法規碎片化的問題,加重企業合規挑戰。
影響原因 AI與新興科技
重點觀察與變化
● 企業在應用AI加速競爭力與追求數位轉型時,可能未充分考慮AI相關的資安風險。
● 企業未能建立強大的資安文化,將更不利於因應AI部署的風險。
影響原因 網路安全技能缺口
重點觀察與變化
● 資安技能缺口仍是企業提升韌性的一大挑戰,重視資安人才培訓也要關注職業倦怠風險。
● 隨著網路安全複雜程度持續提升,資安技能短缺問題也持續擴大,相對是在削弱企業的風險管理能力。
資料來源:世界經濟論壇,iThome整理,2025年3月
錯假訊息、網路間諜威脅攀升,名列全球第1與第5風險
世界經濟論壇《2025年全球風險報告》1月出爐,剛好是該報告發布的20周年。在今年的短期風險排行榜中,第一名是科技類型風險,連續兩年都是這樣的排名,就長期風險而言,仍以多項環境風險為主,科技風險次之。
基本上,WEF將風險分成五大類別,包括:經濟、環境、地緣政治、社會,以及科技風險。
根據WEF最新發布的報告內容指出,以未來2年的全球10大風險而言,科技風險居於第1名與第5名,我們必須優先關注,這些威脅分別是錯誤資訊與假訊息,以及網路間諜活動與戰爭。
至於其他重要風險包括:環境風險居於第2名、第6名,分別是極端氣候、污染;地緣風險居於第3名、第9名,分別是國家武裝衝突、地緣經濟對抗;社會風險佔據第4、7、8、10名,最高是排名第4的社會兩極化。
值得我們關注的是,「錯誤資訊與假訊息」已連續兩年居於短期10大風險之首。
對此狀況,報告中特別強調生成式AI在大規模產生虛假或誤導性內容方面的作用,以及與另一項風險社會兩極化的關聯。
不僅如此,WEF也直截了當指出箇中關鍵!他們認為,社會接觸到的虛假或誤導性內容數量持續增加,使得公民、企業與政府更難以辨識真實資訊。
同時,在錯誤資訊、社會及政治兩極化這兩者的交互作用下,更進一步加劇演算法偏見的風險。而且,演算法偏見也成為加劇錯誤資訊的推手,在這樣的態勢下也讓威脅者有機可乘,擴大影響力。
全球數據治理與監管政策各異也產生影響,因為這會造成公民數位足跡,
面臨隱私保護與監控風險的兩難局面。
面對社會分裂感日益增強的狀況,達成共識是否越來越難?
WEF列出幾項建議,例如:企業需要加強技術與倫理的培訓,減少演算法的偏見,而且,政府與社會應該推動公民數位素養教育,提升隱私的保護,以及辨識假訊息的能力,同時,也要建立AI使用的透明框架,才能讓數位生態重新建立信任基礎。
另一項不可輕忽的科技風險,是排名第五的「網路間諜活動與戰爭」。這項風險之所以日益嚴峻,同樣與其他風險項目之間有著連動關係。
WEF表示,虛假或誤導內容的氾濫,導致地緣政治環境更加複雜化,地緣經濟對抗的這項風險,從前一年度的第14名攀升至第9名,在這種局勢下,政府主導的商業網路間諜活動也可能變得更加頻繁。而且,上述這些也都是與國家武裝衝突高度相關的風險。
換個角度,從未來10年的十大風險來看,WEF指出最主要還是環境風險,涵蓋第1至4名與第10名,科技風險也不容小覷,居於第5、6、9名,當中不僅是包含錯誤資訊與假訊息、網路間諜與戰爭,還有一項是「AI技術的不良後果」。WEF指出,這項風險在短期風險排名仍低,但在長期風險卻是上升幅度最大的風險之一。
全球短期10大風險排名(2025年至2027年)
1 錯誤資訊與假訊息(科技風險 )
2 極端氣候事件(環境風險)
3 國家武裝衝突(地緣政治風險)
4 社會兩極化 (社會風險)
5 網路間諜活動與戰爭(科技風險 )
6 污染(環境風險)
7 不平等 (社會風險)
8 非自願移民與流離失所 (社會風險)
9 地緣經濟對抗(地緣政治風險)
10 人權與公民自由的侵蝕 (社會風險)
科技風險重點變化說明
● 「錯誤資訊與假訊息」從2023年被列為風險項目,當時居於短期風險的第16名,歸類在社會風險;2023年隨著AI快速演進,「錯誤資訊與假訊息」改列科技風險,並且躍居為短期十大風險之首,而且在2025年再度名列第一。
● 「網路間諜活動與戰爭」是2025年新調整項目,成為年度第5大短期風險。上一年度,則是「網路不安全」的科技風險項目名列第4。
● 2025年有2項科技風險入榜短期10大風險,佔據第1名與第5名。兩年前僅1項科技風險「廣泛的網路犯罪與網路不安全」居第8名。
資料來源:世界經濟論壇,iThome整理,2025年3月
熱門新聞
2025-03-03
2025-03-03
2025-03-05
2025-03-05
