趋势科技 2025年资安风险报告
AI智能总结
Outpacingtheadversary 「趨勢科技2025年資安風險報告」證實我們朝主動式資安轉型是正確⽅向,現在,企業資安的⼯作重點再也不是防⽌資安事件的發⽣,⽽是搶先敵⼈⼀步,讓網路資安成為業務營運的動⼒。回顧2024年的風險情勢,讓我們了解企業正暴露於哪些風險以及駭客有哪些⾏為,並依此建置反制措施,將資安從挑戰變成創新及業務成⻑的催化劑。 這份報告引⽤了來⾃我們Cyber Risk Exposure Management(CREM)資安曝險管理解決⽅案的資料,這是我們Trend Vision One™旗艦級網路資安平台的⼀環。這套解決⽅案的監測資料能發掘整體攻擊⾯的曝險狀況,有助於判斷各項風險領域的優先次序並加以解決。此外,這份報告還結合了來⾃我們延伸式偵測及回應(XDR)⼯具的原⽣資料及威脅情報,讓企業掌握敵⼈的相關資訊和風險洞⾒,讓您制敵機先並降低⾃⾝的資安風險指標(Cyber Risk Index)。 資安風險指標(CRI) 為了建立⼀套主動式網路資安⽅法,我們引⽤了我們Cyber Risk Exposure Management (CREM)資安曝險管理解決⽅案的資料,這套⽅案的設計是要藉由評估整個攻擊⾯的風險並判斷其優先次序來建置適當的反制措施以防⽌企業數位資產遭到攻擊。 CREM能計算企業的「資安風險指標」(Cyber Risk Index,簡稱CRI),這是藉由彙整個別資產及風險因素的評分來將企業整體資安風險量化的⼀項指標。根據我們的研究發現,CRI⾼於平均值的企業比起CRI較低的企業有更⼤的機率遭到攻擊。如同預防性健康檢查可以呈現⼀個⼈的整體健康狀況、分析⾝體可能暴露於哪些風險,然後擬定⼀套⾏動計畫來防範這些風險⼀樣,CREM的⽅法也是先評估CRI然後擬定⼀套策略來降低該指標,進⽽改善企業的資安狀況。 儘管風險評估本⾝採⽤的是「質化」的⽅法,但CRI卻是⽤⼀個0到100的數字來「量化」風險的⾼低,讓企業或產業更明確掌握⾃⼰的資安與風險狀況。 CREM會根據風險事件⽬錄來計算每⼀種資產類型的風險評分,以及企業的風險指標分數,將資產在攻擊、曝險與資安組態設定⽅⾯的評分,乘上資產的關鍵性。每⼀項資產的風險評分都是個別計算,且每⼀項評分都會考量到資產的類型與關鍵性。計算結果是⼀個介於0⾄100的整數,並分成三個等級區間: •低度風險(0-30):-這類企業相對安全。-⼤致上沒有必須立即採取的重⼤措施。•中度風險(31-69):-這類企業有多項需要解決的風險因素。-建議考慮並建置適當的反制措施。•⾼度風險(70-100):-這類企業已暴露於嚴重的風險當中。-有必要立即採取嚴格的資安措施來防範潛在的威脅。 請參閱我們的資安風險指標簡介以及我們的技術報告來了解風險評分的計算⽅式。 本報告的監測資料涵蓋2024年2⽉⾄12⽉這段期間,1⽉份的資料之所以被排除,是因為CREM儀表板的演算法在1⽉底時曾經更新,其權重的加總⽅式會影響CRI的計算。⽽2024年2⽉⾄12⽉的監測資料都採⽤相同的演算法來計算,同時也提供了較為準確的CRI平均值。未來,CREM的計算公式若有改進,我們也會適時公布。同時也請注意,產業CRI資料並未包含樣本太⼩、因⽽在統計上無相關性的產業。 資安風險指標資料 整體平均CRI 在2024年,每個⽉的整體平均CRI⼀直在逐步改善,從2⽉到12⽉呈現出6.2分的差距。儘管這樣的改善意味著企業已成功將資安風險管理融入營運當中,但36.3的整體CRI仍處於中度風險區間,顯⽰企業仍有多項風險因素有待解決。這突顯出持續監控攻擊⾯風險完整⽣命週期的必要性,包括:發掘、評估,以及透過反制措施來防範風險。 我們的地區監測資料與整體平均CRI資料所呈現的趨勢⼀致。各地區的風險指標整體上都是下降的趨勢,歐洲改善幅度最⼤,從2⽉⾄12⽉呈現出7分的差距。該地區正在努⼒推動數位營運韌性法(DigitalOperationalResilienceAct)和資安韌性法(CyberResilienceAct)來改善資安習慣與韌性,所以企業可能因此採取較為主動的資安⽅案,包括:系統修補、組態設定修正,以及調整使⽤者的存取⽅式與權限等等。 雖然各地區的CRI在過去⼀年當中都有所改善,但各地的風險指標仍處於中度風險區間,且企業依然有未受保護的資產可能讓企業暴露於威脅。 2024年初,教育產業的平均CRI最⾼,⽽且即使到了最後⼀季依然是CRI最⾼的產業之⼀。該產業的企業機構很容易遭到網路攻擊,有可能導致教育服務中斷、資料外洩、智慧財產遭竊,以及商譽損失。 影響教育產業CRI的因素可能包括:還在使⽤裝有過時的軟硬體的老舊系統,以及未修補的應⽤程式。此外,該產業的使⽤者非常多樣化,因⽽形成⼀個較⼤的攻擊⾯,⽽且遠距學習環境的導入也提⾼了⼈為錯誤的空間,導致資安組態設定錯誤,或者讓使⽤者暴露於網路釣⿂攻擊。不僅如此,教育機構(尤其是公立機構)還⾯臨資源有限的問題,這可能也影響到他們保護系統與網路的能⼒。 農業機構與營造業同樣也有改善空間,這些產業的企業比其他產業更容易引來攻擊,進⽽造成營運中斷。這兩項產業在全球供應鏈都有其策略性地位,因此駭客⼀旦攻擊得逞,很可能會在全球引發連鎖效應。 農業與營造業的企業平均CRI有可能受到他們使⽤老舊系統所影響,⽽這些系統可能沒有⾜夠的安全防護。⾃動化機械與IoT裝置的⽇益普及雖然可以改善這兩個產業的營運,但也帶來新的漏洞讓攻擊⾯擴⼤。此外,第三⽅廠商與服務供應商若缺乏良好的網路資安措施,也可能帶來額外的資安風險。 ⾄於供應鏈上的其他產業,例如能源和運輸業,也應改⽤更為主動的風險管理⽅法來降低整體曝險,強化企業對抗攻擊的韌性。 公司規模與平均CRI 較⼤的企業通常擁有較複雜的網路,⽽更多的員⼯也會形成更⼤的攻擊⾯,因此會讓資安營運中⼼(SOC)更難修補漏洞,也更難維持適當的資安組態設定並保護端點。 不過,任何企業(不論規模⼤⼩)都會隨著業務的全球化及擴張⽽產⽣更複雜的攻擊⾯。這樣的複雜性容易讓駭客有機可乘,因此精密的防禦雖然昂貴,卻值得投資。TrendVisionOne能簡化防禦,將資安曝險管理、資安營運,以及強⼤的多層式防護集中在⼀起,有助於資安營運中⼼預測及防範威脅,加速實現主動式資安成果。TrendVisionOne的核⼼能⼒就是提供⼀種風險導向的⽅法來讓企業隨時搶先威脅⼀步。 危險事件與偵測數量 本節探討我們監測資料當中最危險的偵測事件、組態設定錯誤、延伸式偵測及回應(XDR)模型觸發事件,還有資安數據分析引擎(SAE)以及端點偵測及回應(EDR)觸發事件。 我們先看整體的重⼤偵測事件,然後再分別檢視那些影響個別地區及產業CRI的重⼤偵測事件。整體平均值呈現的是2024年整體的危險事件與偵測數量,地區及產業的個別狀況所呈現的則是範圍較⼩但資料較新(2024年7⽉⾄12⽉)的最新情況。 值得注意的是,此處的平均值資料並未涵蓋個別CRI的完整計算公式,我們建議個別地區與產業的企業還是應該對⾃⼰的系統執⾏⼀次徹底的掃描。TrendVisionOne能讓SOC更輕鬆地詳細檢視構成其企業CRI的個別風險因素。此外,該平台也有助於判斷哪些問題需要立即關注,將資源集中在重⼤風險上,並根據衝擊的嚴重性將問題排序,提供明確的⾏動指⽰讓資安團隊專注在對他們企業最重要的問題上。 危險的雲端應⽤程式依然是企業環境當中偵測數量最多的危險事件。這應該是企業持續轉型⾄雲端環境的影響,所以需要導入雲端防護和使⽤者教育,但這類安全措施或許還不是企業的優先要務。 其他危險事件主要跟電⼦郵件風險與使⽤者帳號及登入憑證安全有關,與電⼦郵件風險相關的危險事件還包括偵測到可疑的電⼦郵件附件。電⼦郵件依然是網路駭客最喜愛的可疑檔案散播管道,TrendVisionOne–EmailandCollaborationProtection解決⽅案在2024年總共偵測並攔截了5,700萬次⾼風險的電⼦郵件威脅,較2023年的偵測及攔截數量(4,500萬次)增加27%。然⽽電⼦郵件同時也是受害者資料被外傳或外洩的⼀種管道:資料外洩防護偵測到的違規事件排⾏第六,這表⽰企業員⼯會透過電⼦郵件發送含有機敏資訊、財務資料或智慧財產的內容或附件,但卻缺乏適當的資安敏感度設定。 與使⽤者帳號和登入憑證安全相關的危險事件顯⽰:保護、強化及更新使⽤者密碼是許多企業的⼀項優先要務。企業需要優先處理並⾃動防範⾝分風險來消除今⽇無疆界⼯作環境所導致的資安事件。TrendVisionOne™-IdentitySecurity可協助企業定期清理可能閒置的使⽤者帳號,這類帳號容易被駭客、已離職員⼯或內賊⽤於存取未經授權的機敏資料和企業網路。 TrendXDR會蒐集和交叉關聯多重防護層的資料,如:電⼦郵件、端點、伺服器、雲端及網路,藉由進階的數據分析與⾃動化分析來加快威脅的偵測、調查及回應。 我們可以從這些監測資料當中擷取出數量最多的「資安數據分析引擎」(SecurityAnalyticsEngine,簡稱SAE)與「端點偵測及回應」(EndpointDetectionandResponse,簡稱EDR)觸發事件,⽽這也是感染程序後續階段中常⾒的威脅。從這⼀點可看出駭客躲避防禦的技巧越來越精密,因此企業應善加利⽤⼿邊的⼯具來提早偵測環境內可疑的⾏為和活動。TrendVisionOne™-EndpointSecurity能廣泛涵蓋各式各樣的環境,為企業提供全⽅位的可視性來防範風險。 在上述TrendVisionOne客⼾環境最常偵測到的組態設定錯誤列表中,還提供了這些錯誤對應的最⾼風險評分,可看出它們都位於中度風險區間的上緣。這些組態設定問題突顯出企業需要啟⽤進階偵測功能以及AI與ML⾏為監控技術來強化偵測新威脅的能⼒。企業應善⽤能提供可視性的⼯具並透過零信任⽅法來消除盲點以降低其CRI。 雲端組態設定錯誤偵測排⾏榜呈現的是範圍較⼩、但⽇期較新的平均值,僅包括2024年7⽉⾄12⽉的資料。我們的監測資料呈現的是各種雲端平台之間的共通問題,如AWS、Azure和GCP。在不合規定的AWS基礎架構組態設定部分,其可能問題包括:⾝分與存取管理(IdentityandAccessManagement,簡稱IAM)政策、安全群組、網路存取控管清單(ACL)的管理不當,以及未⽤到或過多的權限所衍⽣的風險。在AmazonS3部分,有關存取控管、⼀般組態設定以及資安組態設定不合規定的各種問題,可能跟開放的讀取/寫入設定、權限過多的儲存貯體(bucket)政策,以及缺乏加密和版本控管有關。使⽤GCP的企業可能遇到IAM政策的問題以及安全性不⾜的網路組態設定。⾄於AmazonInspectorFindings則可能意味著⼯作負載當中含有資安問題以及資安評估不夠徹底。 定期稽核與更新IAM政策、安全群組,以及網路存取控管,對於防範未經授權的存取是必要的。此外,企業也應避免使⽤開放的存取設定、實施嚴格的儲存貯體政策、啟⽤伺服器端加密與版本控管,並檢討⽣命週期政策與記錄檔機制。企業應善⽤可提升其雲端環境可視性的解決⽅案來更有效管理雲端風險。TrendVisionOne™-CloudSecurity從開發、部署、到營運期間隨時都能保護企業的雲端環境,讓營運更有效率。 各地區及各產業的危險事件與偵測數量 接下來,我們來看各地區及各產業的危險事件與偵測數量,並引⽤2024年7⽉⾄12⽉的資料來提供最新狀況。以下分別列出歐洲、亞洲、中東與非洲(AMEA)、美洲,以及CRI平均趨勢最⾼的五⼤產業的危險事件、XDR模型觸發事件,以及VisionOne組態設定錯誤偵測數量排⾏榜。 AMEA HomeNetworkSecurity事件排⾏榜 除了資安風險管理資料之外,我們的HomeNetworkSecurity也顯⽰了家⽤網路內部的資安風險,它會偵測連上家⽤路由器的裝置上發⽣的危險網路事件,在企業紛紛導入遠距上班的時代,這是⼀個需要監控
