CyberAr發布一份新的全球報告顯示,79%的資深資安專家表示,在過去的一年間,資安已被各式數位商業計畫所取代而退居次要位置。CyberArk 2022身分安全威脅情勢報告,清楚揭示了動輒數十萬計的人類和機器身分,正導致「資安債」不斷累積,使公司組織面臨更大的資安風險。
每個IT或數位轉型計畫都會增加人員、應用系統和作業程序間更多的連動,因而創造出大量的數位身分,如果這些數位身分缺乏適當管理且存在安全隱患,將形成巨大資安風險:
- 68%的非人類或機器人(bots)可存取機敏資料和資產
- 平均每個員工擁有30個以上數位身分
- 機器身分數量如今平均是人類身分的45倍
- 87%的組織將秘密資訊存放於DevOps環境的各個地方,且80%受訪者表示開發者通常會擁有更多比正常所需要的權限
數位轉型、雲端遷移和攻擊者創新的長期趨勢正在擴大受攻擊面。 該報告深入挖掘了資安團隊所面臨網路威脅的類型和嚴重性,以及他們認為最具風險的領域
- 身分存取(credential access)是排名第一的風險領域(40%)、接著是躲避防禦(defense evasion)(31%)、執行惡意程式(execution)(31%)、初期存取(initial access)(29%)、以及提高權限(privilege escalation)(27%)2
- 超過70%企業組織在過去一年平均曾遭受兩次勒索軟體攻擊
- 62%的受訪者在SolarWinds攻擊後沒有採取任何措施來保護他們的軟體供應鏈,而大多數(64%)受訪者更表示軟體供應商的淪陷意味著攻擊在其組織內是無法阻止的