網路環境日益複雜化,目前企業與政府正面臨更進階的資安威脅、更嚴格的法規要求及技術風險擴大,其中主要影響因素包括:地緣政治風險升溫、供應鏈安全風險增加、AI驅動網路犯罪、監管法規增多,以及關鍵基礎設施成為攻擊目標。
當前網路環境日益複雜化,企業與政府正面臨更進階的資安威脅、更嚴格的法規要求及技術風險擴大,其中主要影響因素包括:地緣政治風險升溫(如烏俄戰爭、台海局勢、美中科技競爭)、供應鏈安全風險增加(駭客利用供應商弱點發動攻擊)、AI驅動網路犯罪(生成式AI幫助駭客發動精密詐騙與攻擊)、監管法規增多(各國加強監管,但合規負擔沉重)、關鍵基礎設施成為攻擊目標(能源、電信、供水、醫療等)。
未來網路攻擊型態將更多樣化
勒索軟體仍然是企業每年面臨的首要網路風險,在2024年世界經濟論壇的調查中,45%的受訪者將其列為最關注的問題,根據2024年年度網路安全會議的領導者所述,勒索軟體攻擊預計將迎來重大創新。勒索軟體即服務(Ransomware-as-a-Service,RaaS)模式的持續普及,進一步加深勒索軟體的商品化趨勢,隨著人工智慧和自動化技術的進步,勒索軟體攻擊的複雜度和規模持續提升,攻擊者能夠更快地發現漏洞並發動攻擊,RaaS讓更多沒有技術背景的犯罪分子也能發動攻擊,導致勒索軟體攻擊門檻降低、規模擴大。
而由人工智慧強化的詐騙手段也開始入侵產業,例如由語音模仿(Deepfake Voice)可冒充企業高管詐騙財務部門、由人工智慧撰寫釣魚郵件(Phishing),降低語法錯誤,提升欺騙成功率,相關的自動駭客工具則能降低攻擊門檻,使更多駭客參與網路犯罪。另外,國家支持的駭客活動正在增加,如北韓、俄羅斯與中國的高階持續性攻擊,不少駭客組織開始與政府合作,發動更具策略性的攻擊,如影響選舉、經濟戰等,癱瘓對手國的經濟與基礎設施,在國家級駭客行動上,攻擊者也開始針對雲端供應商,如AWS、Azure、Google Cloud,進行更大規模攻擊,防不勝防。
人工智慧與量子帶來新威脅
新興技術為組織提高效率和優化營運提供了重要機會。因此,許多組織正在積極制定策略,將這些技術整合到其基礎設施中,然而,與底層技術或其在組織中與實施相關的網路風險通常沒有得到所需的關注和考慮。
根據GCO調查顯示,66%的組織預計人工智慧將在未來一年對網路安全產生最重大的影響,然而,只有37%的受訪者表示在部署之前就已經制定評估人工智慧工具安全性的流程,這就產生了一種風險:組織可能會實施或採用人工智慧系統(無論是內部開發的還是來自第三方提供者的),而沒有充分考慮相關的網路安全風險和相關的緩解措施,同時可能會在其IT資產中存在漏洞。
該問題對於小型業者來說更是如此,其中69%的組織缺乏足夠的安全部署人工智慧技術的保障措施,這些措施可能包括確保對與人工智慧基礎設施相關的所有新資產(設備和軟體)進行盤點、確保訓練資料的安全性以及監控人工智慧的行為來及時檢測操縱行為,它也會增加這些較小公司所在的生態系統的脆弱性。
近幾年,不少調查都認為,量子運算透過釋放前所未有的運算能力提供重大的經濟發展潛力,然而,量子運算的進步也加速風險級別,特別是破壞公鑰加密的可能性,這對於保護網路銀行和政府通訊等數位系統的安全至關重要,在2024年網路安全年會的焦點小組中,40%的業者表示他們已開始採取主動措施,透過進行風險評估來了解量子威脅,許多組織對「現在攫取,稍後解密」等威脅越來越警惕,惡意行為者現在收集加密資料,並計畫在量子運算可以破解現有加密後對其進行解密,這對當前和未來的資料安全構成重大挑戰。
許多國家與國際組織已採取多項行動,舉例而言,G7網路專家小組列出一系列金融系統安全風險,為各國政府和中央銀行提供關鍵建議,同時呼籲採取行動。世界經濟論壇還與金融行為監管局合作制定了建議,為全球監管程序提供訊息,以幫助確保採用協作且全球統一的量子安全方法。除QC標準之外,還有其他技術,如量子金鑰分散式(QKD)和量子隨機數產生(QRNG)也引起了各方關注,主因在於它們能夠幫助減輕量子到公鑰加密的風險。
供應鏈也是重中之重
由於全球企業供應鏈日益複雜化,駭客已將供應鏈視為主要攻擊目標,54%的大型企業認為供應鏈是其網路安全的最大挑戰,但許多中小企業尚未意識到該風險的嚴重性。首先,供應鏈跨越多個地區與企業,涵蓋製造商、軟體供應商、雲端服務提供商等,每個環節都可能成為攻擊點,第三方與第四方供應商的安全水平參差不齊,大企業無法完全控制其供應鏈的安全性,而許多企業缺乏對供應鏈的可見性(Visibility),無法確定供應商是否符合安全標準。駭客針對供應商的開發工具或軟體進行攻擊,然後透過受害供應商影響終端企業。舉例而言,2024年CrowdStrike全球IT事件,駭客透過一個雲端安全供應商的錯誤更新,導致全球IT服務大範圍癱瘓,該事件影響銀行、航空公司、醫院、政府機構等,暴露供應鏈依賴雲端服務的風險。
其他手段則包含利用供應鏈中的第三方服務提供商(如IT支援公司、雲端供應商)來獲取目標企業的網路存取權限,近期案例:2023年MoveIT供應鏈攻擊,駭客利用MoveIT文件傳輸軟體的漏洞,入侵多家大型企業與政府機構,竊取數百萬筆敏感資料。而針對硬體與晶片供應鏈攻擊也沒停過,製造業供應鏈的設備與零件可能被預先植入惡意軟體。例如中國製晶片間諜活動,美國政府就認定某些中國供應商生產的硬體設備內嵌惡意功能。
2025年,資安威脅將變得更複雜且全球化,企業需加強防禦能力,確保供應鏈安全,並採取AI風險管理、人才培育、合規調整來保持競爭力,各國政府與企業需要加強公私合作,以提升整體資安能力。 <本文作者:Howie Su現為產業分析師>