2023 資安防護的重中之重:70 萬資安生力軍仍填不了市場缺口,企業還能上哪找人?[轉載自科技報橘]

據《IBM 2022 年度資訊安全威脅報告》,2021 年全球製造業受駭客攻擊的次數,首次超越金融業。駭客攻擊防不勝防,尤其資安人才缺口至今還無法填平,企業在 2023 年資安防護上又該注意哪些新挑戰呢?

2022 年全球政府、企業及各級組織,預計在網絡安全上花費 1700 億美元,相較 2021 多出 400 億美元。即便如此,仍有組織持續蒙受損失。

據美國資安公司 Illumio 今年 6 月發布的一份報告,有超過 76% 組織遭受過勒索軟體攻擊,另外有 66 %  組織經歷過至少一次的軟體供應鏈攻擊(Software supply chain attack),也就是供應商所交付的軟體,在軟體被編譯及授與憑證簽章前,就被駭客植入惡意程式,使得受感染的軟體能神不知鬼不覺的入侵組織的資料與系統。而這些攻擊背後,都可能造成數十億美元不等的損失。

如同細菌也會逐漸對藥物產生抗藥性,網路病毒、駭客攻擊,隨著資安防護力道加大,許多前所未有的入侵方式因應而生,科技媒體《ZDNET》盤點了 3 個 2023 年資安防護可能需面對的新問題。

 

1. 資安人力短缺, 70 萬生力軍仍填不了市場缺口

無論公司添購什麼樣的防護軟體,總是有更新的駭客伎倆、安全漏洞,等著組織破解。因此對於資安維護,人才一直是比技術更重要的核心。

據全球資安專業人員協會(ISC)² 去年一份報告指出,儘管每年約有 70 萬名新生力軍投入資安市場,但是全球資安技術人才市場至今仍是需求遠超越供給。情報技術諮詢公司 Booz Allen Hamilton 的國防資安事業負責人 Kelly Rozumalski 認為,網路威脅日趨複雜,一旦缺乏專業人才,等於把組織置於險境。

企業若想解決資安人員不足的燃眉之急,Kelly Rozumalski 建議企業不妨放寬搜索標準,將招募對象擴大到計算機科學、軟體工程,甚至心理學系,鼓勵來自不同背景的人才投入資安防護,快速壯大公司的資安團隊

另外,除了一線資安人員,最新趨勢也顯示公司越來越重視整體資安防護措施的制定與監控,找到具有資安專業知識的董事成員越來越重要。據顧問公司海德思哲調查, 2020 年至 2021 年,大企業的新董事會成員其擁有資安專業知識的比例,從過去的 8% 躍升至 17% 。 

一個可能的原因是,有懂資安的董事進入董事會,除了能給予資安團隊更有力支持,由上而下 Top down 資安政策到公司每個角落,也能為組織營造更無懈可擊的防護力。

 

2. 地緣政治掀駭客危機,慎防病毒潛藏於供應鏈

2022 年初烏俄戰爭爆發,俄羅斯向世界展示了網路攻擊如何成為現代戰爭的一大助力,促使全球政府單位更正視網路安全問題,並將資安防護議題升級為國安危機。

微軟一份報告顯示,2 月底到 4 月初期間俄羅斯在烏克蘭境內發動至少 37 次網絡攻擊。主要針對烏克蘭的關鍵基礎設施、當地電信供應商、能源網絡及政府網絡發動攻擊,例如在入侵初期,俄羅斯多次試圖切斷烏克蘭與他國的衛星通訊以及寬頻聯繫。

而受牽連的不僅是交火雙方,與該國有供應鏈來往、提供政治或軍事支持的國家,都可能遭受波及。例如今年上半年美國多家大型軟體科技公司以及政府機構,就發現被俄羅斯境外情報局攻擊,多間機構使用的軟體被迫更新成藏有惡意程式的版本

前 FBI 網路部門助理主任 Matt Gorham 指出,這意味著組織不能只考慮遭受單一網路攻擊的風險,也要懂得如何檢測從盟友、上下游捎來的資源,揪出潛入供應鏈中的惡意程式與攻擊,學會如何集體控制、預防

Matt Gorham 提醒,發動攻擊的駭客不一定總是使用高級技術,許多生活常見漏洞,例如系統密碼的安全等級薄弱、未定時定期更新應用程式版本,以及缺少雙重身份驗證(2FA),都可能成為使系統淪陷的最後一根稻草。

 

3. 新技術漏洞成駭客最愛,落地速度與安全性成兩難

Web3 和物聯網(IoT)等技術在今年取得長足發展,預計 2023 年這些新技術也能再創顛峰。

但就像任何新技術,伴隨著市場的期待情緒與炒作,軟體與服務往往會因為急著發布,而犧牲其安全性。如同過去無數起加密貨幣交易所遭駭客攻擊,被竊走百萬加密貨幣的事件,人們常常會因為過於興奮地使用新技術,而忽略安全漏洞。

儘管目前有許多發展 Web3 技術的單位會邀請眾多白帽駭客參與漏洞回報獎勵計劃(bug bounty hunter),揪出更多系統潛在的資安漏洞。但這些漏洞若率先被有攻擊意圖的駭客發現,仍可能對用戶造成代價高昂的損失。

而這還只是實驗性質的技術。近幾年發展飛速的物聯網技術,促使全球家庭與工作場所至少安裝了數十億台相關設備,其中甚至有助物聯網設備牽涉基礎民生設施或醫療保健。而這些與其他新技術一樣,都存在潛藏大量漏洞的風險,如果這些連線設備沒有得到妥善保護,一旦遭受攻擊破壞,足以使人們的生活與工作環境陷入困境。(責任編輯:游絨絨)

(本文開放夥伴轉載,參考資料:zdnetdailysabahillumioheidrickreutersfortune,圖片來源:unsplash

})(jQuery)