勒索、雲端、AI:企業如何打造全方位資安防線?
本文將深入回顧 2024 年重大資安事件,分析企業面臨的挑戰,並提供實用的建議,協助企業在 2025 年打造全方位防護。
編譯/Nica
網路安全情勢日益嚴峻,攻擊事件層出不窮,企業面臨前所未有的資安挑戰,不僅要面對傳統網路威脅,還要應對新興 AI 風險。為因應日益複雜的網路威脅,2025 年企業必須採取更全面的安全措施。網路安全已成為企業生存亡關鍵。
2024 資安危機
勒索軟體攻擊肆虐,醫療產業成為重災區;雲端安全事件頻傳,敏感資料外洩風險提升;AI 技術濫用,深度偽造技術引發新型詐騙。此外,軟體供應鏈攻擊事件頻繁發生,突顯企業對第三方風險管理的不足。各國政府加強網路安全法規監管,企業面臨更嚴峻的合規性壓力。這些事件都在提醒:資安已成為全球關注焦點,企業必須採取主動、積極的方式,才能有效應對不斷升溫的網路威脅。
一、勒索軟體攻擊肆虐:
Change Healthcare 勒索軟體攻擊,影響 1.1 億美國人,暴露醫療系統在保護敏感醫療資訊方面的漏洞,並導致醫療照護和帳單流程的嚴重中斷。Change Healthcare 被迫支付 2200 萬美元贖金,但駭客集團 RansomHub 仍然試圖向母公司 UnitedHealth Group 勒索更多。
此事件突顯勒索軟體攻擊對醫療產業的嚴重威脅,並引發國會對醫療機構強制執行基本安全標準的呼籲。此外,LockBit 勒索軟體集團攻擊,儘管國際刑警組織在二月份展開代號「Operation Cronos」的大規模執法,查封了與 LockBit 勒索軟體集團相關的伺服器和網域,並逮捕了數名嫌犯,但該集團的攻擊行動並未停止。LockBit 仍然是勒索軟體即服務 (RaaS) 的主要提供者。
二、雲端安全事件頻傳:
Snowflake 雲端資料倉庫公司客戶帳戶遭駭,網路犯罪集團 UNC5537 利用竊取的客戶憑證,系統性入侵 Snowflake 客戶的雲端資料倉庫,竊取敏感資料並試圖勒索受害者,AT&T 損失慘重,1.1 億用戶的電話和簡訊詮釋資料遭竊,據提交的報告指出,AT&T 支付了 37.7 萬美元贖金銷毀這些遭竊資料。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
另一起雲端安全事件則是 CrowdStrike 的 Falcon Sensor 安全軟體更新檔出現錯誤,導致全球約 850 萬台 Windows 系統崩潰。此事件影響航空公司、銀行、廣播公司和醫院等多個產業的組織。這起事件顯示,即使是安全軟體本身也可能存在漏洞,需要更嚴格的測試和品質控管流程。
三、資料外洩事件規模驚人:
美國國家公共資料外洩事件中,背景調查公司 National Public Data 在 2023 年 12 月遭駭客入侵,直到 2024 年 7 月,4TB 的遭竊資料被駭客公開在網路犯罪論壇上才被大眾所知。
這起事件導致 29 億筆記錄外洩,影響美國、英國和加拿約 1.7 億人。遭洩露的資訊包括社會安全號碼、姓名、地址、電子郵件和電話號碼等。National Public Data 在事後因面臨多起訴訟而宣布破產。
另一起事件 MOVEit 供應鏈攻擊,影響了超過 2,600 家機構,暴露 7700 萬筆紀錄。MOVEit 事件再次證明,軟體供應鏈安全已成為企業資安的重中之重,必須將供應商安全管理納入整體資安策略,才能有效防範此類攻擊。
四、AI 技術被濫用於網路犯罪:
深度偽造技術 (Deepfakes) 威脅升級,駭客利用 AI 技術生成的深度偽造音訊和影片進行詐騙,例如冒充公司高層進行視訊會議,誘騙員工進行轉帳。知名工程公司 Arup 就因此損失 2,560 萬美元。 此外,北韓駭客也利用深度偽造技術,偽裝成 IT 人員在西方國家公司求職,藉此竊取敏感資訊。
五、網路安全法規監管日益嚴格:
歐盟的 NIS 2 指令擴大適用範圍,引進更嚴格的網路安全風險管理措施和事件通報機制。美國各州陸續通過全面性隱私法,GDPR 和 HIPAA 的執法也持續加強,2024 年的罰款總額分別高達 56 億和 53 億美元。美國證券交易委員會 (SEC) 也修訂資料外洩的披露規則,加重企業資安長的責任,並將個人責任歸屬納入考量。
面對日益嚴峻的資安挑戰,企業如何打造全方位防護?
Kiteworks 公司發布「2025 年管理私人內容曝光風險預測報告」,概述未來網路安全趨勢與挑戰。內容重點在於 預測 2025 年的網路安全環境將更加複雜且充滿威脅,包括前文所述日益嚴格的法規要求、供應鏈攻擊、AI 濫用以及全球資料隱私法規的激增。
這份報告闡述 12 個關鍵的網路安全與合規趨勢,針對這些趨勢提出應對策略,例如:利用預測工具評估風險、投資先進的自動化安全系統、採用 AI 驅動的威脅檢測與回應、加強合規和治理框架、降低第三方風險以及關注安全的內容協同合作等。報告的目的是為企業領導者、IT 專業人員和安全團隊提供實用指南,幫助他們在不斷變化的網路安全環境中有效管理風險,並確保合規。報告內容含括案例分析、建議和策略規劃,並強調資料分級、多維度風險評估和量子計算帶來的風險等重要議題。
針對 Change Healthcare 事件暴露的醫療產業資安漏洞,報告建議醫療機構應優先採用零信任架構、進階威脅偵測和強大的資料治理,以符合日益複雜的法規環境。
Kiteworks 的 FedRAMP 中度授權私人內容網路支援近 90% 的 CMMC 2.0 Level 2 要求,能協助醫療機構有效保護 PHI 資訊並符合 HIPAA 法規。
而就 CrowdStrike 事件的安全問題,報告再度強調零信任安全模型的重要性,要求驗證所有連線和資料交換,並建議企業採用 NIST 和 CISA 最佳實作,包括例行軟體更新、有效的修補程式管理和深入軟體供應商風險評估。
Snowflake 事件突顯雲端安全的重要性。報告建議企業採用安全內容協作平台,實施動態存取管理和進階追蹤功能,並整合通訊安全,將電子郵件、檔案共享等系統整合到單一安全平台,提升管理效率並降低風險。
報告列舉主要趨勢與因應策略如下:
- 資料隱私與合規:強化資料治理,投資自動化工具,並指派專責人員。
- 軟體供應鏈安全:嚴格審查供應商,實施零信任模型,並進行例行性軟體更新。
- 多層次安全架構:採用縱深防禦策略,部署多種安全工具,如DLP、CDR、CSPM 等。
- 安全內容協作:使用安全的協作平台,實施動態存取管理和進階追蹤。
- 整合通訊安全:採用單一安全平台整合所有通訊工具,簡化管理。
- API 安全與自動化:加強API安全性,利用自動化工作流程確保安全控制措施的一致性。
- 法規遵循:關注法規變化,主動進行準備評估,並加強第三方風險管理。
- 資料分級策略:利用自動化工具和 AI 技術對資料進行分級和標籤。
- 多維度風險評估:利用 AI 分析和威脅情報,評估各方面風險。
- AI 資料安全風險:採用主動措施防範 AI 資料安全風險,如強化安全協定、使用隱私保護技術等。
- 以合規性為導向的安全性:將合規性融入安全策略的核心,利用自動化工具和客製化框架。
- 量子運算風險:及早準備,採用後量子密碼學標準,確保資料安全。
多種資安策略相輔相成,強化企業防禦。企業要建立完善的資訊安全防禦體系,單靠一種資安策略是不夠的。多種資安策略之間的相互作用,能產生更強大的防禦效果。
[ 推薦閱讀:DDoS 危機升級!AI 能否成為破解之道?]
例如,多層次安全架構與零信任模型結合,可以建立更嚴密的防禦層次;資料分級策略輔以安全的內容協作平台,能有效保護敏感資料;API 安全與自動化安全內容通訊流程的整合,則能提高效率並降低風險。
此外,AI 資料安全與合規性驅動的安全性也密不可分,能讓企業在利用 AI 技術的同時,確保安全合規。企業應將各種資安策略視為一個整體,而非孤立的個體。透過整合多種策略,企業可以建立更全面、更有效的安全防禦體系,降低資安風險,保護企業資產。
AI 時代資安保衛戰,企業如何得勝
為應對日益複雜的網路威脅,企業應採取多項措施,包括強化多層次安全防禦,建立更嚴密的防禦體系;加強雲端安全管理,並實施零信任安全模型;重視資料保護與隱私,建立完善的資料分級,並遵循相關法規;關注 AI 技術的風險與機會,建立 AI 治理框架,防範 AI 濫用;及早準備後量子密碼學,因應量子計算對現有加密技術的威脅。
此外,還應該與資安專家合作,定期進行安全評估,培養員工安全意識,整合多種資安策略,才能建立更完善的安全防禦體系,保障企業資產安全。
總結來說, 2024 年的網路安全事件再次提醒我們,網路安全是一個動態的過程,企業必須不斷調整安全策略,才能應對不斷變化的威脅。唯有透過多方合作,共同努力,才能構建一個更安全的網路環境。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
