iThome

今年大型企業的資安戰略開始不一樣,不只要做好資安、強化資安,還要更進一步推動資安轉型

每一年,只要調查CIO的年度目標,資安向來都是CIO優先度第一名的目標,超過8成CIO將強化資安列為年度目標。雖然在今年的iThome CIO大調查中,強化資安目標,依舊是優先度最高的CIO目標,但是,將這一項列為年度目標的CIO比例,從去年的81%,在今年下滑到72%。不是CIO對資安的重視度下滑了,而是CIO今年開始轉向更進階的資安戰略,也就是要推動資安轉型。今年高達49.8%的企業要推動資安轉型,比去年的3成比例,足足多了快2成。半數企業不再只想延續舊有思維來強化資安,而要更進一步改變資安思維,從過去的被動防禦作法,轉為主動防禦的資安思維,也比過去更積極擁抱零信任架構、推動資安左移等新一代資安作法。資安轉型成了企業全新的轉型方向。從今年大調查結果可以看到,將零信任身分與設備鑑別納入今年資安投資重點的企業超過了2成,也有一成多的企業要採用零信任網路分段和信任推斷。

從各產業來看,以政府學校(70.7%)金融業(61.1%)最積極推動資安轉型,這兩個產業對新一代零信任架構的採用意願也是各產業中最積極者。行政院這兩年大舉推動政府機關擁抱零信任,金管會也開始鼓勵金融機構採用。高達41.5%政府學校和38.9%金融機構今年資安投資重點是零信任身份與設備鑑別,遠高於其他產業。對於零信任網路分段和信任推斷,也有超過2成政府學校和金融業者今年要導入。

零信任架構不只是為了強化內網安全,也讓企業可以更放心的上雲,擁抱混合雲。新一代資訊架構所用的微服務架構、容器化架構、跨雲混合雲,讓企業內網和外網之間的界線更加模糊,都讓傳統的網路多層式防護、縱深防禦作法越來越難以發揮作用,只有全面升級資安思維,從零信任角度重新設計防禦策略,才能在新一代資訊架構浪潮中發揮資安力。這正是為何越來越多企業積極推動IT現代化的同時,也同步展開資安轉型的緣故,企業越是積極上雲,擁抱雲原生技術,零信任架構的價值和必要性也就越加重要,還可以讓企業降低為了採用雲端GAI服務而上雲的風險。

雲原生帶來另一個考驗是軟體供應鏈資安威脅,越來越多開發元件是開源技術,上游開源軟體的零時差漏洞,往往牽連整個下游生態圈,今年3月發震驚IT界的XZ程式庫遭植入後門事件,更反映出這項威脅的嚴峻。攻擊者長達2年潛伏,精心騙取開發社群的信心,進而暗中在上游元件中植入惡意程式碼。唯有將資安作為提前到開發流程前段,推動資安左移策略,或將資安整合到整個開發生命周期、DevOps流程中,才能徹底的杜絕可疑元件的污染,也能在零時差漏洞出現時,第一時間修補,今年要採用DevSecOps的企業達到17.1%,尤其是金融業和服務業,每四家就有一家今年要擁抱DevSecOps,將資安更落實到整個開發流程中。

 問卷說明  iThome資安大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家。填答者中,企業CIO則占了71.8%,企業資安最高主管則占了62.8%。產業分布上,一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3%、政府與學校則占了9.7%

 相關報導 

熱門新聞

Advertisement