CyberArk 發表「CyberArk 2023身分安全威脅情勢報告」中顯示,經濟環境不佳和 AI 等技術創新的速度,正在提高身分攻擊風險,也導致資安債更為惡化。
隨著數位轉型、雲端、物聯網或是各種「智慧」議題之下,提供人們生活與工作更為便利與更有效率,也提升企業的經營效率及獲利。然而隨著這些正面的效益之下,也有令人擔心的部分,其中各種資訊安全問題變得更為重要,甚至上升至國家層級,防範各種資安問題成為當務之急。
以身分安全為主的 CyberArk 發表新的全球報告顯示,經濟環境不佳和 AI 等技術創新的速度,正在提高從身分切入的資安風險。「CyberArk 2023 身分安全威脅情勢報告」中顯示,人類和機器身分數量預期將成長 240%,而對數位和雲端計畫的投資速度高於資安投入,將快速擴大未受保護的身分攻擊面,種種因素可能導致「資安債」的持續擴大。
「CyberArk 2023 身分安全威脅情勢報告」針對全球 500 名員工以上的公營或民營組織,並由 Vanson Bourne 市調公司對全球 2,300 名資安決策者所進行的調查,受訪單位的地區與國家包括巴西、加拿大、墨西哥、美國、法國、德國、義大利、荷蘭、西班牙、英國、澳洲、印度、以色列、日本、新加坡和臺灣。
CyberArk 北亞區總監謝文駿
CyberArk 北亞區總監謝文駿表示:「即使在裁員和總體經濟的巨大壓力下,企業追求不斷提高業務效率和創新依然不減。以數位和雲端計畫為主的業務轉型不斷導致企業身分數量激增。儘管攻擊手段不斷翻新,但侵害身分仍是繞過網路防禦並存取敏感資料與資產最有效方式,這樣的風險讓『信任誰和信任什麼』成為所有資安措施最首要工作,進而可以預防資安債的持續累積,並為組織建立長期資安韌性。」
企業組織在2022年經歷資安債的增長,主因是疫情期間資安支出普遍低於數位業務計畫投資。至 2023年,包括經濟緊縮、員工流動率升高、消費支出下降以及全球環境的不確定性等因素,更可能讓資安債持續惡化。隨著企業領導者仍持續投資數位和雲端計畫,以追求更大的效能和創新,對資安造成連鎖反應。
調查中發現幾乎全部(99%)的受訪者預期在今年會出現與身分相關的威脅,主因是經濟壓力下的裁員、地緣政治因素、雲端採用以及混合工作型態等因素。58% 的受訪者表示威脅將在諸如雲端部署或舊有應用軟體遷移等數位轉型計畫中產生。
員工流動也帶來威脅,如對企業不滿的前員工,使得超過三分之二(68%)的企業組織預期在2023年會出現因員工流動所導致的資安問題。
資安攻擊面不斷擴大,其中人工智慧與勒索軟體是最大威脅
調查中也發現企業在未來12個月內將部署比現有數量多出68%的 SaaS 工具,而大量的人類和機器身分可透過 SaaS 工具取得敏感資料,如果缺乏適當保護,極可能成為攻擊的破口。
而從調查當中可以發現今年身分與資安的關注領域,其中93% 受訪的資安專業人員中,預計在2023年會面臨 AI 威脅,其中以 AI 產生的惡意軟體將是最大的威脅。近九成的受訪組織(89% - 較2022年報告的73%增加)在過去一年中遭受勒索軟體攻擊,其中60%的受影響企業支付兩次或更多贖金以復原資料,代表這些企業很可能是雙重敲詐勒索攻擊的受害者。
產業中有 67%的能源、石油和天然氣公司認為無法阻止或甚至偵測來自軟體供應鏈的攻擊,但此行業的大多數受訪者(69%)也承認在過去12個月中並未嘗試透過更好的資安措施來改善此問題。
強化身分安全以降低風險
以身分為中心的攻擊面更為擴大,包括人類和機器的身分是所有攻擊或所有攻擊的核心。近一半的身分必須存取敏感資料以完成工作,因此成為攻擊的首選途徑。在報告中發現 IT 環境的關鍵區域並未獲得足夠的保護,並辨識出具重大風險的身分類型。63% 的受訪者表示,最高敏感性的員工存取未得到充分保護,而擁有機敏資料存取權的機器數量比人類更多(45% vs. 38%)。
憑據存取仍然是受訪者認為最大的風險(被35% 提及),其次是防禦規避(31%)、執行(28%)、初始存取(28%)和權限提升(27%)。由於未知和未受管理的身分存取,關鍵商用軟體如 ERP或是財務管理等被視為風險最高的領域,僅 46% 的組織採取身分安全控管以保護關鍵商用軟體。而合作夥伴、顧問和服務提供商等第三方被認為是風險最高的人類身分類型。69% 的受訪者則認為因安全考量而減緩機器人流程自動化(RPA)和 bot 部署。
預防資安債累積的三大重點
面對這些資安問題,企業應該如何因應?由身分安全對於零信任實施十分重要,因此首先要落實零信任原則。此次受訪者表示,身分管理(79%)和端點安全/設備信任(78%)對支援零信任具有「關鍵」或「重要」的作用。
運用安全存取敏感資料的策略以改善身分安全,受訪企業計劃在2023年引入改善身分安全措施包括 JIT 即時存取(32%)、採用最小授權原則保護業務關鍵應用軟體(32%)以及自動供裝和撤銷存取權限(31%)。
另外有超過一半的受訪者(51%)將尋求可信賴的資安合作夥伴的協助,以預測和規畫未來2023年的資安風險解決方案。 |