網路資安業者趨勢科技近日公布企業「網路資安風險指標(CRI)」數據,指出過去 12 個月當中,全球有 32% 的企業曾經發生多次客戶資料外洩,因為企業無法有效分析及防禦日益擴大的受攻擊面。
CRI 所計算的是「企業資安準備度」與「企業遭攻擊的可能性」之間的分數落差,以 -10 到 10之間的數值呈現該期間的風險指標。全球 CRI 指標從 2021 下半年的 -0.04 演變至 2022 年上半年的 -0.15 ,而台灣CRI指標從去年下半年的 0.53 提升至今年上半年的 -0.06,顯示風險等級大幅攀升。這樣的趨勢也反映在同一期間,全球企業曾遭網路攻擊「得逞」的比例從 84% 上升至 90%,未來一年企業自覺可能遭到攻擊的比例也從 76% 上升至 85%。
此外,從 CRI 報告可以看出某些資安準備度上最大的風險皆與企業發掘受攻擊面的能力有關。資安人員常常難以掌握業務關鍵資料資產與應用程式實際的所在位置;而從業務的角度來看,企業最大的問題在於資安長(CISO)與企業高階主管之間缺乏共識。至於全球受訪者對於「我所屬企業的 IT 資安目標與業務目標一致」這問題只給了 4.79 分 (滿分 10 分)。
整體而言,全球受訪者認為 2022 上半年最大的資安威脅依序為變臉詐騙 (BEC)、點擊劫持、無檔案式攻擊、勒索病毒、登入攻擊;而台灣受訪者則認為零時差漏洞、勒索病毒、無檔案式攻擊、網路釣魚與社交工程詐騙、後門程式/木馬程式(Root kits)為前五項需謹慎防範的資安威脅。
對此,趨勢科技威脅情報副總裁 Jon Clay 表示,面臨複雜、分散的新世代 IT 環境,許多企業都面臨資安涵蓋率與可視性不足卻無法徹底解決的困境。為了避免受攻擊面日益擴大而失控,企業需要將資產發掘及監控能力與威脅偵測及回應能力整合至單一平台,且應解決網路資安專業人才短缺的問題並改善資安管理的流程與技術,將有助於大幅降低自身遭攻擊的風險。
(首圖來源:pixabay)