「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
資產情報網路安全公司 Armis 公布《全球攻擊面管理研究》(Global Attack Surface Management Research) 的發現,這份報告調查各類組織在過去12 個月間面臨的趨勢及挑戰。
委託 Vanson Bourne 執行的該報告發現全球組織正面臨一波嚴重性前所未見的網路風險,肇因是整個工作環境中存在多處盲點,而且安全團隊被排山倒海而來的威脅情報資料淹沒,缺乏具可行性的見解。因此,61%的全球組織通報他們在過去12個月中至少出現過一次安全漏洞,31%的全球組織在同一期間內出現多次安全漏洞。組織最可能通報遭到破壞的前四個國家分別是:美國、新加坡、澳洲和紐西蘭。
Armis 的 2023 年《全球攻擊面管理研究》係採集美國、英國、德國、法國、新加坡、澳洲和紐西蘭資訊科技安全和資訊科技決策者的洞見整理而成。同時重大發現包括:
整個組織攻擊面並未受到全面監控,導致嚴重暴險和無法察覺的網路安全風險。
- 在一般工作日中,有55,686個實體和虛擬資產連接到組織網路。全球受訪者表示這些資產僅有60%受到監控,其餘40%則不受監控。
- 員工在業務環境中使用個人資產的情況逐日增加,而各組織執行自帶設備 (BYOD) 政策的情況則有顯著差異:22%的受訪者指出其組織訂有正式的BYOD政策,然而並沒有強制所有員工遵守;23%的受訪者指出其組織若不是訂有規範鼓勵員工遵守、便是承認組織沒有任何BYOD政策或規範。
- 平均說來,當需要瞭解資產位於何處或這些資產的支援狀態等資訊時,組織只能掌握60%資產的確切資訊。被遺漏的資產(如印表機)可帶來重大的安全疏失,特別是在沒有安裝安全性更新或套用修補程式時。
沒有自動化和威脅情報優先排序的資料湧入,破壞安全性,並打擊IT專業人員有效修對抗脅、保護組織的能力。
- 29%的受訪者指出他們的網路安全團隊面對龐大的網路威脅資訊不知所措。德國受訪者 (38%) 舉報這個情形的可能性最高。
- 僅有不到半數 (45%) 的受訪者表示他們至少使用10個不同來源收集威脅情報相關資料。平均而言,僅有52%至57%的威脅情報相關程序是自動化完成的,這表示利用情報所需的大量工作都是手動進行的。
- 平均說來,從威脅情報來源得到的資訊僅有58%具有可行性。僅有2%的受訪組織表示他們從威脅情報來源收集到的所有資料都具有可行性。
組織使用太多工具管理連接到其網路的實體和虛擬資產,以至於難以進行有效管理,進而妨礙網路安全計劃的有效性。
- 全球受訪者指出其組織運用11種不同工具管理連接到其網路的資產,而有44%承認他們仍在使用手動建立的表格。
- 員工有辦法迴避安全措施,在IT或安全團隊不知情的情況下,將應用程式及軟體下載至資產內。四分之三 (75%) 的全球組織表示這種情形至少在某些時候發生,四分之一 (25%) 則表示這種情形不斷發生。如果不完全控制、管理和/或可見這些資產,組織將面臨更大的風險。
延伸閱讀:
《2023 年中資安報告》台灣遭網攻次數居全球之冠,AI 和 USB 結合成重大威脅來源
資安公司發現 2023 年上半年台灣平均每秒遭攻擊近 1.5 萬次,居亞太之冠
旅館資安有漏洞!7 成台灣五星飯店的電子郵件易讓旅客遭詐騙威脅
資安公司發現 66% 企業正落實 ZTA 零信任架構,缺乏整合成最大阻礙
資料來源:美國商業資訊、Armis
|
