全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼：4704)近日公布企業「網路資安風險指標」數據，過去 12 個月當中，全球有 32% 的企業曾經發生多次客戶資料外洩，因為企業無法有效分析及防禦日益擴大的受攻擊面。

這份數據來自趨勢科技與 Ponemon Institute 合作的「網路資安風險指標」(Cyber Risk Index，簡稱 CRI) 半年度報告，受訪對象為北美、歐洲、拉丁/南美洲、亞太等四個地區共 4,100 多家企業機構。

趨勢科技威脅情報副總裁 Jon Clay 表示：「凡是看不見的就無法保護，然而伴隨混合式上班而來的是一個複雜、分散的新世代 IT 環境，許多企業都面臨資安涵蓋率與可視性不足卻無法徹底解決的困境。為了避免受攻擊面日益擴大而失控，企業需要將資產發掘及監控能力與威脅偵測及回應能力整合至單一平台。」

CRI 所計算的是「企業資安準備度」與「企業遭攻擊的可能性」之間的分數落差，以 -10 到 10之間的數值呈現該期間的風險指標註一。全球 CRI 指標從 2021 下半年的 -0.04 演變至 2022 年上半年的 -0.15 ，而台灣CRI指標從去年下半年的 0.53 提升至今年上半年的 -0.06，顯示風險等級大幅攀升。這樣的趨勢也反映在同一期間，全球企業曾遭網路攻擊「得逞」的比例從 84% 上升至 90%，未來一年企業自覺可能遭到攻擊的比例也從 76% 上升至 85%。

此外，從CRI 報告可以看出某些資安準備度上最大的風險皆與企業發掘受攻擊面的能力有關。資安人員常常難以掌握業務關鍵資料資產與應用程式實際的所在位置；而從業務的角度來看，企業最大的問題在於資安長 (CISO) 與企業高階主管之間缺乏共識。全球受訪者對於「我所屬企業的 IT 資安目標與業務目標一致」這問題只給了 4.79 分 (滿分 10 分)。 趨勢科技建議，企業應解決網路資安專業人才短缺的問題並改善資安管理的流程與技術，將有助於大幅降低自身遭攻擊的風險。

Ponemon Institute 董事長暨創辦人 Larry Ponemon 博士表示：「CRI 一直是個相當關鍵的指標，代表全球企業對於自身資安狀況以及遭到攻擊的可能性的一種評估。在總體經濟面臨逆風的嚴峻情況下，企業的風險真是無以復加。受訪者認為，外部專家的高昂費用、基礎架構的損害，以及生產力的損失，是資安事件最主要的嚴重後果。」

整體而言，全球受訪者認為 2022 上半年最大的資安威脅依序為變臉詐騙 (BEC)、點擊劫持、無檔案式攻擊、勒索病毒、登入攻擊 (登入憑證竊取)；而台灣受訪者則認為零時差漏洞、勒索病毒、無檔案式攻擊、網路釣魚與社交工程詐騙、後門程式/木馬程式 (Root kits) 為前五項需謹慎防範的資安威脅。



註一：- 10 到 -5.01 代表高風險，-5.0 到 0 代表略高風險，0.1 到 5.0 代表中等風險，5.01 到 10 代表低風險。