KPMG安侯數位智能風險董事總經理謝昀澤表示,首度對外公布的企業網路曝險大調查,抽樣臺灣50家大型企業,想要證明具有資源的大公司,是否會願意多投入一點在資安項目上,結果發現,高科技業對於資安投入最少,面對的網路風險最高。

圖片來源: 

iThome

高科技製造業是臺灣重要關鍵產業,近期卻發生宏碁電腦、廣達電腦遭到勒索軟體REvil的威脅,以宏碁電腦為例,雖然拒絕支付駭客集團5,000萬美元(新臺幣14億元)的高額贖金,但從該公司系統遭到駭客集團植入勒索軟體看來,企業系統岌岌可危,才讓駭客如入無人之境。

根據全球第一份臺灣企業資安曝險大調查來看,KPMG安侯數位智能風險董事總經理謝昀澤便直言:「電腦及周邊設備製造業平均網路分數墊底,更有高達80%屬於該產業的企業,落在整體排名的最後15名。」

該份調查顯示,通稱高科技業的「護國群山」們,於本次調查中的網路防護安全性分數,平均只有68分(遠低於50家大企業全體平均分數78分),除少數公司躋身領先群外,多數高科技業網路安全防護都落後於臺灣其他產業;臺灣高科技業若爆發資安事件,若採用財損模型推估,其潛在的平均財務損失風險更超過3,000萬元,比整體調查平均高出5成。

KPMG執行此次企業曝險調查,主要抽樣的對象是臺灣50家大型企業,他們假設的前提是:大公司資源豐富,可以有更多資源投入資安,想藉此了解大型企業在網路防護的真實狀況。但謝昀澤遺憾地指出,臺灣大型企業網路防護的平均分數只有C級(78.78分),只要具有一般能力的駭客就可以入侵。從這個成績也讓人擔心,其他資源更少的中小企業,面對的網路風險可能更高。

此外,謝昀澤從該份調查也清楚看到:臺灣除了金融業,其他包括製造業、電子零組件製造業、通訊業以及電腦及周邊設備製造業等,在網路防護綜合平均分數,都在70分到80分的C級區間,而這樣的資安等級「只要一般的專業駭客就可以侵害,」他說,目前全世界喊得出名號的駭客組織都算是這一類。

關於這份報告的製作方式,謝昀澤指出,KPMG針對臺灣50家大型企業進行「臺灣企業資安曝險大調查」,不僅以外部多元大數據情資蒐集作為客觀調查依據,以非侵入式的智慧型工具自動執行,希望揭露這些大型企業更廣泛、更具體的網路曝險實況,也會以整體供應鏈或產業視角進行分析,而他們在評估企業曝險的同時,也會考量技術、財務面向,希望可以將企業所面臨的資安風險,以造成的財務損失金額作為風險量化的參考依據。

謝昀澤表示,在該份報告發表以後,KPMG接到好幾家企業來電,除了想知道他們有沒有被選樣、成績如何之外,也要求分享細部的分析方法,想要以此進行自我診斷與檢查。然而,這些公司本身都是比較關心資安、而且風險較低的公司──他們發現,會主動打電話來詢問的企業,都是該次曝險報告成績表現優異的企業,顯見,會關心資安新聞的企業,在資安作為上,也比較落實。

KPMG針對臺灣50家大型企業進行企業曝險調查,其中,金融業將近三成,高科技製造業將過五成,製造業二成。臺灣大型企業中,也以高科技業比例最高。

 

企業曝險分析外部大數據,並以模型分析財損

全球經歷COVID-19疫情影響,不僅促成許多企業採用遠距工作模式,也改變企業營運和民眾消費模式, 這些都讓科技應用大躍進,也對應產生資訊安全危機。臺灣首要面對的資安挑戰,首推地緣政治,長期做為中國駭客鎖定攻擊的標的;其次,在新興科技的運用上,新增許多雲端服務、物聯網和RPA(流程機器人)的使用,勢必得促使企業必須將數位科技結合營運管理制度,藉此提高營運流程效能;最後,臺灣需要面對各種新興商業模式的挑戰,像是遠距工作、無人化生產和無接觸服務等,就得做到安全有效率才行。

面對新型態的各種資安挑戰,謝昀澤表示,傳統企業內部執行的資安風險評鑑、弱點掃描或滲透測試演練等活動,以及其他問卷、訪談等調查,都只能掌握企業內部或是外部潛在的資安漏洞,面對外部的網路風險,掌握度並不高。

因此,KPMG執行此次企業曝險調查時,就是希望透過非入侵式、自動化智慧型工具自動執行,藉此提高調查的有效性;同時,為了掌握每次爆發資安事件可能造成的財損,也同時將技術與財務面向納入考量;更以外部多元的大數據情資蒐集,做為客觀調查的依據,希望可以將更廣泛、具體的企業網路曝險實況,透過整體供應鏈或產業視角方式,進行深入分析。

企業曝險調查從隱私、韌性、聲譽和安全性共20個項目做檢測

企業曝險調查分成隱私性(Privacy)、韌性(Resiliency)、聲譽(Reputation)和安全性(Safeguard)四大技術檢測面向,每一個面向當中,又有五項細部檢測項目,像是隱私性,就囊括:檢測SSL/TLS強度(SSL/TLS Strength)、憑證管理(Credential Management)、暗網分享(Hacktivist Shares)、 社群網路(Social Network)和資訊揭露(Information Disclosure)等五項檢測項目。

其他在韌性面向的檢測項目,則包括:攻擊面(Attack Surface)、DNS健康度(DNS Health)、電子郵件安全性(Email Security)、DDoS承受度(DDoS Resiliency)以及網路安全性(Network Security);聲譽檢測項目則包括:品牌監控(Brand Monitoring)、IP聲譽(IP Reputation)、欺詐應用程式(Fraudulent Apps)、欺詐網域(Fraudulent Domains)和網頁排名(Web Ranking);至於安全性檢測的項目,則包括:數位足跡(Digital Footprint)、漏洞修補管理(Patch Management)、應用程式安全性(Application Security)、CDN安全性(CDN Security)和網頁安全性(Website Security)等項目。

透過四個面向、20個檢測項目的綜合成績,每10分列為一個等級,總計分成A、B、C、D和F等五級,A級是90分以上,需要世界一流駭客才可以入侵企業;B級是80到89分,需要經驗豐富的駭客才能入侵企業;C級是70到79分,只需要一般專業駭客就可以入侵企業;D級是60到69分,入門級的駭客就有機會成功入侵企業;最後則是F級、60分以下的不及格分數,會寫基本網路程式的初學者(Script Kids,腳本小子),就可能入侵企業。

 

KPMG針對臺灣50家大型企業,從隱私性、韌性、聲譽和安全性等四大面向進行檢測,每個面向又有5個檢測項目。透過總平均得分,了解臺灣50家大型企業以及不同產業別的網路防護現況。

 

KPMG將企業網路防護等級分5級,臺灣50家大型企業平均為78分,列為C級,只要是一般的專業駭客,就有能力入侵企業。

金融業安全性防護接近A級水準,與主管機關高度監管正相關

此次KPMG調查的50家臺灣大型企業檢測結果,五個產業的網路防護的安全性平均分數是78.68分(C級),平均財損為2,000萬元。對於這個結果,謝昀澤表示,只要一般專業駭客就可以成功入侵臺灣50家大型企業,而現在許多有名號的駭客組織都是屬於這類,因此,企業不得不提高警覺。

進一步從產業別來看,金融業在網路防護分數的四大面向中,不論是隱私性、安全性、韌性、聲譽皆為各個產業中,表現最優異的產業,金融業網路防護安全性的平均分數87.37分,平均成績接近A級,其中更有超過半數的金融業者,安全性分數超過90分以上(A級)。

若以臺灣產業表現有待加強的網路防護「安全性」成績來看,謝昀澤認為,金融業可以維持87.37分的高水準,跟主管機關的高度監理脫離不了關係,因為,金融業者只要違反金融法規時,就會遭到主管機關重罰、造成商譽損失,甚至各種創新服務無法上線等,這些監管措施最實際的影響,就是會造成金融業營運上的重大損失。所以,許多金融業為了達到監理機關的要求,都會致力於安全性的提升,才讓金融業成為各個產業的資安標竿。

就不同產業而言,製造業網路防護的安全性分數偏低,只要一般專業駭客就有能力入侵;但金融業安全性分數表現較優異,經驗豐富的駭客才有能力入侵。表面上看來,金融業似乎不需要擔心網路攻擊,事實上,金融業有許多有價值的資訊與資產,加上積極推動金融科技,更廣泛使用各種雲端儲存、資料分析工具,以及和許多第三方業者的委外合作,這些也成為金融業曝險的關鍵、駭客鎖定攻擊的原因。

謝昀澤也引述國際研究機構報告指出,金融業受到網路攻擊的可能性,是其他產業的300倍,而且,每年的攻擊次數都在攀升;同時,全球金融業每年因為網路犯罪造成的財務損失金額,更是高達新臺幣5.28億元。

金融業在網路防護的「安全性」得分最高,平均分數87.37分,更有過半金融業安全性得分超過90分,顯見,金融業在金管會的高度監管下,對於安全性相對其他產業更為重視。

 

金融業DNS控管倒數第二,品牌監控與網頁排名倒數第一

金融業在網路防護安全性的平均分數高,但仍潛藏著一些危機,不容忽視。謝昀澤指出,該產業在韌性面向中的「DNS(域名)健康度」卻只有76.46分,大幅拉低金融業在韌性面向86.56分的平均分數,甚至是五個產業中倒數第二名。

他說,若可以良好控管DNS,企業就能透過資料比對、安全認證的步驟,降低使用者連線到惡意的詐騙網站,也可以過濾惡意網址,確保重要資訊的安全性。

另一個容易低估的危機,則與網頁安全有關。金融業在網路防護隱私性、韌性、聲譽和安全性等四個面向的平均分數,都領先其他四個產業,不過,在聲譽面向的品牌監控,以及網頁排名兩項技術檢測項目中,卻是排名倒數第一。

各個企業都要透過品牌行銷,以及搜尋引擎最佳化(SEO)的方式,來提升網頁的能見度,而這也會帶來許多網路風險。謝昀澤認為,企業不能為了迴避網路風險而放棄推廣數位化,像是,金融業為了推動金融科技(Fintech)的發展,並面對純網銀以及開放銀行可能造成客戶流失的風險,金融業必須在提升網路知名度的網頁排名,以及網頁安全之間,取得平衡。

值得注意的是,此次KPMG的調查中,納入13家金融業,其中有11家的網路防護分數名列本次調查的前20名,但剩下的2家金融業的排名,竟在整體排行的30名之後。

謝昀澤指出,位居30名以後的2家金融業,在漏洞修補管理的項目,只有45分和20分;在詐欺應用程式的項目,只有89分和75分;但前20名金融業在漏洞修補平均分數為91.5分,在詐欺應用程式的分數為100分。他認為,在金融業中網路防護平均分數落後者,將成為駭客積極鎖定的對象,不可不慎。

金融業平均網路防護分數83.69分,為各產業排名第一名,但若是比較網頁排名分數,得分73.92分,排名最後。金融業重視安全防護,對於各種網路採取高限制手段,但面對純網銀和開放銀行可能分食銀行客戶的挑戰,金融業也必須透過SEO(搜尋引擎優化)手段,提升網路知名度。

 

高科技製造業平均財損3千萬元,電腦及周邊設備製造業資安表現最差

一般而言,包括電子零組件製造業、通訊業,以及電腦及周邊設備製造業,是多數人認知的「高科技產業」,謝昀澤表示,根據企業曝險調查,高科技製造業是發生資安事件後,預估潛在財務損失最高的產業群,每家公司平均財損超過新臺幣3,000萬元。

臺灣高科技產業在全球產業供應鏈扮演關鍵角色,謝昀澤指出,駭客針對臺灣高科技產業的攻擊,過去以破壞關鍵資訊系統、竊取營業秘密等,近年來則以針對企業系統或資料的加密勒索、商業郵件詐騙、進階持續性威脅(APT)攻擊等。

通訊與製造相關產業在綜合隱私性、安全性、韌性、聲譽四大面向的網路防護平均分數都不高,則是各產業網路防護分數最低的產業(73.2分),遠遠低於製造業(78.8分)、電子零組件製造業(76.4分)、通訊業(75.25分),以及電腦及設備製造業(73.2分),其網路防護平均成績低於五大產業平均分數(78.68分)。

更有甚者,電腦及周邊設備製造業只有一家勉強進入前段班(第22名),其餘皆落在整體排行的最後15名;至於製造業、電子零組件製造業等,平均分數則在70分到75分。

基於這樣的調查結果,謝昀澤也發現,製造業雖然是臺灣主要的核心產業,從去年迄今,陸續傳出許多製造業者,都遭到駭客組織植入勒索軟體進行加密勒索資安事件,顯然,製造業在網路防護的安全性上面,仍有很大的進步空間;另外,他也看到,金融業和電腦及設備製造業等兩個不同產業之間,網路防護分數相差24分之多,這也突顯臺灣各產業的網路防護的安全性,有很大的落差。

在五大產業中,電腦及周邊設備製造業在網路防護平均分數最差(73.2分),不僅遠遠低於五大產業平均值(78.68分),只有一家受測產業網路平均防護分數排名在第22名外,其他都是倒數15名內的成績。

 

臺灣高科技製造業各項安全性檢測排名最差

網路防護的四個面向中,安全性是五個產業平均分數最差的面向,但值得關注的是,高科技產業安全性所涵蓋的五項檢測,包括:應用程式安全性、CDN 安全性、漏洞修補管理、網頁安全性、數位足跡等,分數又都落後金融業及製造業,突顯高科技製造業在網路安全性的脆弱。

因此,高科技製造業雖然是臺灣重要的核心產業,卻面臨高度的網路風險,其中,從「攻擊面」的檢測項目中,針對開放埠、過時服務、應用程式弱點及錯誤配置進行技術分析,KPMG發現,高科技產業的成績明顯落後,而這樣的狀況,也使得當高科技產業旺季來臨時,可能會因為曝險面積擴大,導致他們受到更多的駭客勒索軟體攻擊。

謝昀澤依據過去數十個臺灣本土案例,分析高科技業經常被入侵綁架的原因,他認為,這些事故經常是因為一個員工小疏失所致,最常見的就是隨意點選來路不明、內含木馬程式的釣魚郵件,再加上一個未能即時修補的漏洞,例如:Windows或郵件伺服器漏洞沒有即時更新,而對企業帶來的網路風險;最後,因為疫後遠距科技的多元應用,更提供駭客更多入侵管道。

謝昀澤坦言,科技業資安較整體平均脆弱這樣的調查結果,是個初看「意料之外」細想卻是「情理之中」的成績。畢竟,一般人對大型企業的印象都是圍牆高聳、門禁森嚴,但仔細觀察實際的企業網路環境,我們可以發現,凡事講求生產效率與成本的臺灣科技業,對於資安的重視程度,普遍並不高。

加上,臺灣製造業近年來積極推動工業4.0,也讓各種類型的製造業開始朝向智慧製造,謝昀澤指出,為了部署各種感測器收集資料,工廠端的網路架構也日益複雜,加上許多工控系統(OT)軟體,往往無法做到軟體或韌體的即時更新與升級,都讓駭客有可乘之機。他認為,臺灣製造業在推動數位化的同時,更必須更加提升資安控管能力以及網路防護的安全性,才能夠確保企業核心服務和系統的安全性,避免造成巨大財損。

高科技製造業包括電子零組件、通訊和電腦及周邊設備製造業,從隱私性、韌性、聲譽以及安全性的平均得分都可以發現,高科技製造業則是排名最差的三個產業。

 

網路防護分數每提高一個級距,財損風險將減少60%

雖然高科技業者成為駭客手中的肥羊,但是,根據KPMG臺灣企業資安曝險大調查的結果來看,當網路防護強度分數越低,企業財務損失的機會就越高,除了平均網路防護分數80分以上的金融業外,其餘產業財損風險和平均網路防護分數成高度負相關。

網路防護分數若以5分作為一個級距,當企業網路防護分數每提高一個級距,財損風險就減少60%,而臺灣產業平均網路防護分數為78.68分,並未達到80分的關鍵分水嶺,這也意味著,臺灣產業是駭客鎖定攻擊、勒索的標的,財損風險相對較高。

KPMG安侯數位智能風險董事總經理謝昀澤進一步分析,網路防護分數85分以上,企業平均財損為200萬元;分數80分至84分,平均財損500萬元;分數75分至79分的企業,平均財損1,300萬元;分數70分至74分,平均財損3,400萬元;防護分數低於70分的企業,平均財損則高達8,800萬元。若以80分作為分水嶺,80分以上企業的平均財損為330萬元,80分以下企業平均財損為4,300萬元。

他也說,這次KPMG測試的50家大型企業,彼此在技術面和財務面的表現差去不遠,其中,網路防護分數最高的企業,得分88分,財損只有17.6萬元;網路防護分數最差的企業,得分58分,網路財損竟高達1.58億元。比較兩家極端企業,網路防護分數差距高達30分,財損風險的差距卻相差900倍。他說:「這也可以證明,網路防護能力已經是企業重要競爭力之一。」

KPMG以財務模型衡量企業遭到資安事件後的財務損失,若以企業網路防護平均分數78.68分為基準,網路防護分數80分以上的企業平均財損為330萬元;80分以下的平均財損為4,300萬元。

 

高科技業數位足跡廣泛,導致企業內部資訊不當揭露

近期,臺灣企業近期最常見的資安風險包括:勒索軟體與商業郵件攻擊(Business Email Compromise,BEC),多次爆發重要資安事件,不僅造成企業財務損失,也嚴重影響企業的營運效率。

造成資安事件的原因多元,但仍不脫離資訊系統漏洞無法即時修補,以及曝露過多數位足跡遭到駭客利用。KPMG安侯數位智能風險董事總經理謝昀澤表示,基於KPMG臺灣企業資安曝險大調查的結果而言,臺灣高科技產業因為網路數位足跡廣泛,造成這個產業安全性的各項檢測排名,都名列各產業之末,成為駭客眼中的肥羊。

曝露過多企業數位足跡,成為企業網路防護隱憂

企業組織如果在網際網路上曝露過多的數位足跡,包含:內部員工有心/無心的資訊洩漏(Information Disclosure)、企業雲端協作平臺(例如:GitHub)組態設定錯誤等高風險因子,都會造成企業組織的數位空間(Cyber Space)高度曝險。

由於過往企業對自身在外的數位足跡較不重視,謝昀澤表示,企業對於像是WHOIS網域名稱查詢工具所顯示的連絡資訊,都可能得以關聯出子公司與母公司間的關係等,造成企業外部的數位足跡紊亂,而這也讓許多有心人士能夠趁機窺探企業相關資訊,成為難以提防的變因;加上,在數位環境中,企業針對自身品牌的保護與露出之間,必須實施相對的安全控制,在上述兩點加乘後,也造就了現今的企業曝險因子較高的理由。

從他們的調查結果也發現一個現象,那就是:數位足跡曝露的數目越高,企業網路防護所得到的分數也越低。謝昀澤表示,此次企業曝險調查的第一步,就是透過企業每個網域名稱,進行快速偵測且呈現企業的數位足跡,而這也和駭客入侵企業經常使用的攻擊鏈架構(Kill Chain Framework)的情搜方式雷同──主要都是從開放性資訊與情報來源進行挖掘和分析。

謝昀澤表示,此次曝險調查的大數據情資,也有來自外部駭客網站、駭客論壇及各種弱點資料庫等資料,因為上述網頁都是呈現資安的負面消息,所以,同樣會造成企業網路上的數位足跡越多、網路曝險的風險控管越差的狀況。

其他企業曝險調查的情資來源,多會涵蓋資安負面訊息的網站。例如,高科技產業數位足跡控管不力,像是通訊業數位足跡控管最差,其曝露在外數位足跡的數目,超過金融業和製造業的60倍以上;至於電子零組件製造業、電腦及周邊設備製造業的數位足跡,則分別是金融業、製造業的20倍和5倍之多。

因此,他也建議企業用戶,要透過適當網路的縱深防禦架構,保護企業內部重要的數位資產,並透過內部存取控制、資料遺失防護等機制,採取多因素驗證等方式,妥善管理企業重要的數位足跡。

企業如果在網路上曝露過多的數位足跡,會大幅拉低各家大型企業的網路防護平均分數,而從資料顯示,高科技業在網路曝過的數位足跡過多,也成為駭客趁機找到企業入侵管道的重要因素之一。

 

熱門新聞

Advertisement