圖片人物左至右為: CyberArk 大中華區技術顧問黃開印、CyberArk 北亞區總監謝文駿
隨著科技的創新,資安的問題始終層出不窮。根據CyberArk 調查顯示,AI、員工流動和經濟壓力加劇身分攻擊面,99%的人預期在2023年將遭受與身分有關的威脅,且三分之二的人預計裁員和員工流動將導致新的資安問題。
從最新一期《CyberArk 2023身分安全威脅情勢報告》中顯示,人類和機器身分數量預期將成長240%,而對數位和雲端計畫的投資速度高於資安投入,將快速擴大未受保護的身分攻擊面,種種因素可能導致「資安債」的持續擴大。
CyberArk 北亞區總監謝文駿表示,經濟緊縮加上數位轉型加速,使企業面臨更高風險。企業組織在2022年經歷了資安債的增長,主要因為疫情期間資安支出普遍落後於更廣泛的數位業務計畫投資。到了2023年,包括經濟緊縮、員工流動率升高、消費支出下降以及全球環境的不確定性等因素,更可能造成資安債持續惡化。而隨著企業領導者仍持續投資數位和雲端計畫,以追求更大的效能和創新,更對資安造成了連鎖反應。
放眼2023整體威脅情勢,近九成的受訪組織(89% - 較2022年報告的73%增加)在過去一年中遭受勒索軟體攻擊,其中60%的受影響企業支付了兩次或更多次贖金以復原資料,這顯示他們很可能是雙重敲詐勒索攻擊的受害者。
CyberArk 大中華區技術顧問黃開印表示,未來會以身分為中心的攻擊面更為擴大,包括人類和機器的身分,是所有攻擊,或幾乎所有攻擊的核心。近一半的身分必須存取敏感資料以完成其工作,因此成為攻擊的首選途徑。
此外,近乎全部(99%)的受訪者預期在今年會出現與身分相關的威脅,這源於經濟壓力下的裁員、地緣政治因素、雲端採用以及混合工作型態等因素。58%的多數受訪者表示威脅將在諸如雲端部署或舊有應用軟體遷移等數位轉型計畫中產生。且由於員工異動帶來的威脅,例如不滿的前員工或被濫用的遺留憑據,超過三分之二(68%)的企業組織預期在2023年會出現員工流動所導致的資安問題。
謝文駿認為,即使在裁員和宏觀經濟的巨大壓力下,企業追求不斷提高業務效率和創新的渴望依然不減。以數位和雲端計畫為主的業務轉型不斷導致企業身分數量激增。儘管攻擊手段不斷翻新,但侵害身分仍然是繞過網路防禦並存取敏感資料和資產的最有效方式,這樣的風險讓『信任誰和信任什麼』成為所有資安措施最首要工作,進而可以預防資安債的持續累積,並為組織建立長期資安韌性。