【iThome 2024資安大調查系列1】一般製造業未來一年資安態勢大剖析

連續四年，勒索軟體資安事件是一般製造業威脅最大的資安風險項目，而且發生風險連年提高，超過5成一般製造業者自認未來一年極可能遭遇這類事件，擔心這項威脅的企業，比去年還多了5%。過半一般製造業者尤其擔心，一發生就會帶來重大的衝擊。這項威脅也是對一般製造業衝擊程度最高的項目。

勒索軟體是一般製造業首要風險

雖然勒索軟體是製造業最擔心的威脅，但過去幾年受害的企業，大多是大型製造業者，但從2022年開始，許多駭客組織轉型成勒索軟體即服務（RaaS，Ransomware as a Service）的模式之後，更多發動攻擊的犯罪團隊出現，攻擊目標，在2023年開始從大型企業，轉向中型企業，甚至是中小企業，尤其一般製造業的資安防護人力和資源都嚴重不足，更容易遭駭。

從勒索軟體態勢分析機構Coveware在2024年第一季勒索災情分析報告中，百人規模以下遭攻擊企業的比例達到28%，中型企業遭攻擊的數量這2年更出現持續提高的趨勢。不過，從攻擊途徑來看，途徑不明的比例越來越高，在2024年第一季將近5成，這也顯示出攻擊者的手法越來越多元或越來越懂得隱匿行蹤，而透過釣魚手法入侵來勒索的比重大幅減少，另外，透過軟體弱點入侵的比例則與2023年相當，約占攻擊事件的一成多，值得注意的是，透過遠端存取入侵的攻擊途徑則有增加的趨勢，這是一般製造業者要降低勒索軟體威脅，必須特別警戒的資安重點，若能減少遭遠端存取的風險，也能同時降低勒索軟體攻擊的風險。

因為這幾年一般製造業不時傳出勒索軟體資安事件，因此也相當注重資料的備援，今年有48％一般製造業將異地備援列為資安投資重點。這些努力，資安長評估，未來一年，勒索軟體資安事件對一般製造業的衝擊規模，略微下降，有9%一般製造業者今年開始不再將勒索軟體視為高衝擊的威脅。

不過，在對企業資安能力的信心上，一般製造業是各產業中偏低者，將信心水準分成5個等級，極有信心是100分，有信心80，大致有信心60分，只有一點信心40分，沒有信心是20分。以60分（大致有信心）為及格線，整體產業平均是67.1分，但一般製造業的信心分數只有64.4分。若進一步從NIST CSF網路安全框架2.0版的六大面向來看，治理（Govern）、識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。一般製造業對自己的復原能力（64.4分）和保護能力稍有信心（66.4分），但對偵測能力的信心最弱，平均只有61.7分，在及格邊緣。也就是說，在發現遭遇到網路資安事件的偵測能力上，一般製造業者普遍對自己比較沒有信心。導致一般製造業難以做好資安的阻礙因素，員工資安意識不足是名列第一的原因，高達48%的一般製造業者自評是該項原因，其次是預算編列不足。

一般製造業在2024年的平均資安預算平均約360萬元，是各產業中最低者，但和2023年相比，他們的預算其實達到兩位數的成長，大幅增加了約12.1%，成長力道是各產業中第二高者，這也反映出一般製造業今年格外正視資安的態度。高達64％的企業將強化資安視為今年的IT優先目標，甚至有42.7%的企業要進一步推動資安轉型，採取如主動防禦作法、資安左移，另有24%一般製造業今年要投資零信任身分與設備鑑別。

釣魚網站、社交工程、BEC和駭客都是次要風險

除了防範勒索軟體的威脅之外，一般製造業未來一年還得留意四項次要資安風險，包括了來自釣魚網站、社交工程手段、商業郵件詐騙這三個攻擊途徑的威脅，以及來自駭客發動的攻擊。參與調查的資安長們自評，社交工程手段的發生風險雖然比去年略低，但是一但發生了，帶來的衝擊預期會明顯比去年更高。因此，過半數一般製造業，今年會投入資源投入員工資安訓練，來提升他們的資安意識，因為這是對抗社交工程手段的關鍵。

不過，值得注意的是，高達22.7%一般製造業者認為，高層資安意識不足是一大資安阻礙，甚至也有18.7%的一般製造業認為高層低估了創新應用的資安風險（例如積極嘗試ChatGPT，卻沒有足夠的資安配套）。未來一年，一般製造業強化人員資安訓練的同時，還得格外重視對高層的資安培訓。

在這份企業資安風險圖中，雖然列出了25項資安風險項目，當企業資安資源有限時，可以先將資安資源投入到第一象限的資安風險項目，也就是發生風險高且對企業衝擊影響高的項目，整體來看，一般製造業在2024～2025年要留意的第一象限風險有11項，除了前面提過的首要風險（勒索軟體資安事件）和四項次要風險（釣魚網站、社交工程手段、商業郵件詐騙、駭客），另外還可以留意網路犯罪者、資安漏洞/零時差漏洞攻擊事件、被植入竊資軟體/後門木馬、資料外洩事件、以第三方為跳板的攻擊，以及ChatGPT/GAI成為輔助攻擊工具的威脅。

還有一項威脅還不大，但是發生風險明顯比去年增加不少的資安風險，就是假訊息不實資訊事件的影響。今年比去年多了6%的一般製造業者，評估自己未來一年極可能發生這類資安事件，因而開始提高警覺。

值得提醒的是，在2024年3月爆發了XZ程式庫遭植入後門事件，震驚了整個IT業界，也讓國外再度掀起一股軟體供應鏈安全威脅的緊張氛圍，但臺灣的一般製造業是對軟體供應鏈安全最無感的產業，從今年資安大調查可以看到，在各產業中，多達19%的一般製造業者認為，自己在未來一年極不可能遭遇到軟體供應鏈資安事件，這個不在乎的比例遠高於其他產業。

但從XZ程式庫後門事件來看，差一步就在Linux作業系統中開了後門，幾乎會影響到所有的企業。一般製造業者不能再輕忽這類風險的發生可能性，也得保持關注，一但資安態勢提高危險程度，就得跟的提高警戒層級，不能再以爲自己不會遭遇到這類事件的威脅，而毫無作為。文⊙王宏仁

 企業資安風險圖製作說明  在iThome 2024年CIO暨資安大調查中，由企業自評各資安項目的兩項指標，一項是該項目對企業帶來的衝擊程度（衝擊極高和衝擊極低），另一項是這個項目未來1年的發生風險（極可能發生與極不可能發生），再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊，位置越往上代表衝擊越大，水平軸是企業未來1 年發生該項目的風險，位置越右，代表可能性越大。紅色字的項目為今年發生風險明顯提高者，綠色字項目是今年預估衝擊明顯提高者，兩項皆明顯提高者為紫色文字。

 問卷說明  大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家，其中62.8%填答者為企業資安最高主管。

 相關報導