最新資安風險報告:企業處於「中度風險」,資安評估與風險導向決策助提升資安韌性
全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 發布最新報告,表示全球的「資安風險指標」(Cyber Risk Index,簡稱CRI) 分數註一正逐年下降,2024 年的平均分數為 38.4 分,較 2023 年下降了 6.2 分,顯示企業在採用了主動式資安方案後,可看到其量化風險指標呈現下降趨勢。
請點選以下連結來閱讀這份「趨勢科技2025年資安風險報告」:https://www.trendmicro.com/content/dam/trendmicro/global/zh_tw/security-intelligence/threat-report/report/Research-Risk-Report-2025TC.pdf
趨勢科技企業平台長金敬秀表示:「趨勢科技客戶正在擁抱我們的主動式資安願景,採用 AI 驅動的 Trend Vision OneTM Cyber Risk Exposure Management 主動式資安曝險管理來發掘風險,並判斷其防範優先次序。藉由這項優勢,他們就能建立資安韌性、迅速遏制威脅,而且時間和資源的利用也變得更有效率。只要心態和工具正確,任何企業都能依循這套作法治理資安。」
過去一年當中,儘管企業依舊處於「中度風險」區間,但 CRI 分數每個月都在下降,從 2 月份的 42.5 一路下降至 12 月的 36.3,證明了企業的資安風險確實有所改善。而這也點出資安界的一項轉變趨勢:朝著持續性資安評估與風險導向決策發展。
以下是今年報告的重點摘要:
· 最危險的事件:「存取危險的雲端應用程式」排行第一,其次是「閒置的 Microsoft Entra ID 帳號」,其他前十大風險還有電子郵件、使用者帳號以及登入憑證相關風險等,其大多與組態設定錯誤有關。有超過 10 億家機構在登入 Entra ID 帳號時都停用了多重認證,顯然企業需要更有效的自動化身分防護。
· 漏洞平均修補時間(MTTP):2024 年最常偵測到的 CVE 未修補漏洞為上半年發布的「權限提升」(EoP) 漏洞 (高嚴重性)。在所有地區當中,歐洲 (23.5天) 及日本 (27.5天) 是漏洞平均修補時間 (MTTP) 最短的地區,而動作最快的垂直產業則是非營利組織 (19天) 與科技業 (22天)。至於醫療 (41.5天) 與電信 (38天) 則是動作最慢的產業。趨勢科技平均可在廠商正式釋出修補更新之前三個月提供虛擬修補來保護客戶。
· 產業狀況:在 2024 年當中,教育、通訊、能源及農業的 CRI 最高,顯示它們是曝險程度最高的產業。
· 地區狀況:歐洲是改善幅度最大的地區,CRI 降低了 7 分,這很可能是因為 NIS2 與 DORA 所帶來的法規壓力使然。美洲以及亞洲、中東與非洲 (AMEA) 仍有改善空間,日本則依然保持著平均分數最低 (34.3) 的優異成績。
· 勒索病毒:LockBit、RansomHub 和 Play 勒索病毒占 2024 年已通報資安事件的最大宗。根據趨勢科技研究,CRI 高於平均值的企業遭遇勒索病毒入侵的機率比低於平均值的企業高了 12 倍左右。
· AI:根據這份報告指出,AI 輔助的深偽 (deepfake) 網路釣魚、虛擬綁架詐騙以及自動化駭客偵查,是 AI 最重要的新興威脅。但儘管如此,AI 也能讓網路資安人員更有效地預測及防範網路攻擊,例如藉由業界首創的 Trend Cybertron 資安大型語言模型 (LLM)。
為了進一步降低 CRI,趨勢科技呼籲全球企業可透過以下方式來擁抱主動式資安方案:
· 資安設定最佳化:徹底發揮產品的功能,設定在發生組態設定錯誤、漏洞及其他風險時收到警報通知。利用原生感測器/第三方來源建立攻擊面的完整可視性。
· 迅速聯絡裝置和/或帳號持有人:當偵測到危險的事件時,利用 Vision One Workbench 的搜尋功能來跟裝置持有人聯絡以便進一步確認和調查。
· 盤點閒置帳號:將閒置未用的帳號刪除、停用有危險的帳號、重新設定高強度的密碼,並且啟用多重認證 (MFA)。
· 套用最新的修補更新:定期套用修補更新或升級應用程式/作業系統版本。
註一: Trend Vision One Cyber Risk Exposure Management資安曝險管理採用其風險事件目錄來計算每一種資產類型的風險評分,以及企業的風險指標分數。計算方式是將資產的攻擊、曝險與資安組態設定,乘上資產的關鍵性。計算結果會是一個介於0至100的整數,並分成三個等級區間:低度風險(0-30)、中度風險(31-69)以及高度風險(70-100)。
