最近幾週,你是否從各大商店、媒體、社群平台感受到一年一度的萬聖節氛圍呢?根據《BBC》,萬聖節根源可追溯至好幾世紀以前的英國,以及鐵器時代的凱爾特人習俗,而每年此時,是陰陽兩界之間最靠近的時刻,能讓死去的亡靈來到人間。
這股靈異氛圍,也讓網路安全專家 Chuck Brooks 聯想起越來越令人不安的網路環境,在《Forbes》盤點起 2023 年重要的資訊安全數據和趨勢,指出這一切「令人毛骨悚然」,並將在 2024 年帶來威脅。如果你正試圖保護資料安全,Brooks 提出的 7 大數據和趨勢,或許能幫助你提前做準備。
全球資安數據與趨勢
1. 網路攻擊的數量和複雜程度正在增加
2023 年,世界經濟論壇首次將「網路犯罪」和「網路安全」列為 2 年和 10 年內的全球十大風險之一。Brooks 引述歐洲網路安全公司 Recyber 點出,企業在貿易戰、複雜的供應鏈、合作夥伴生態系的商業世界中相互連結,而隨著 AI、物聯網、5G、量子運算等技術創新,企業應該思考的問題已非「是否」會受到網路攻擊,而是「何時」受到攻擊。
根據 Hiscox 最新網路調查報告,全球有 87% 的企業將網路視為財務的頭號威脅,而且認為比經濟衰退和技術短缺的威脅性更大。調查顯示:
- 有超過一半(53%)的企業在過去 12 個月內至少遭受過一次網路攻擊。
- 網路風險帶來的影響不容低估──受到攻擊的公司中,有五分之一(21%)表示這足以威脅企業的生存能力。
- 對於員工不超過 10 人的小型企業來說,網路攻擊的頻率正在增加。
- 商務電子郵件,仍是駭客首選的攻擊武器。
隨著攻擊和速度不斷增加,受害者的損失也隨之攀升。根據 Cybersecurity Ventures,網路犯罪造成的損失、成本將從 2015 年的 3 兆美元飆升至 2025 年的 10.5 兆美元;Statista 預估的成本數字,則是從 2022 年的 8.44 兆美元成長至 2027 年的 23.84 兆美元。
2. 網路安全的投資將會成長
根據風險評估公司 Moody 的 2023 年全球調查,各企業的網路安全支出從 2019 年到 2023 年共增加了 70%。細看企業分配給網路安全的技術資金──各組織表示,他們 2023 年把技術預算的 8% 用於網路安全,高於 2019 年的 5%。
Brooks 表示這些數據不會說謊,因為物聯網的發展擴大了網路攻擊的目標。他據估計指出,有 500 億台連線設備和數兆個感測器在物聯網設備中運作;同時,駭客也利用 AI 將網路釣魚流程自動化,更大規模地影響企業和消費者。
3. 惡意軟體、網路釣魚為主要攻擊形式,且變得更先進
Brooks 從 ReasonLabs 《2023 年網路安全夏季趨勢報告》發現,45.3% 的網路威脅與惡意軟體有關;43.6% 與網路釣魚、詐騙電子郵件或誘騙用戶提供私人資料的訊息有關。其中,網路釣魚是最常見的攻擊手法,根據康卡斯特年度報告,十分之九的網路攻擊是從網路釣魚開始的。
Brooks 提及,隨著時間推進,惡意的勒索軟體只會變得更加複雜與廣泛。現在網路犯罪份子的手法更先進,可以透過「勒索軟體即服務(RaaS)」的商業模式預先部署、開發勒索軟體工具。此外,網路犯罪者也更容易存取數位影像和社交工程數據,並透過機器學習,將網路釣魚和勒索軟體相結合。
微軟的年度數位防禦報告也有類似觀察,指出勒索軟體攻擊越來越精密和迅速,自 2022 年以來,人為操作的勒索軟體攻擊增加了 200%;受到攻擊的環境中,有超過 80% 都源於未受管理的設備,且利用不常見的軟體漏洞,使得預測和防禦更加困難。
除此,另一種攻擊手法── DDos 阻斷服務攻擊也在翻新。NETSCOUT DDos 威脅情報報告指出,2023 年上半年有近 790 萬次 DDos 攻擊,並且從其攻擊的生命週期發現,駭客正在持續尋找新的攻擊方法──透過防彈主機託管、代理伺服器(Proxy)等客製化設施發動攻擊。
4. 2023 年勒索軟體的支付和復原成本大幅上升
網路安全公司 Sophos 2023 報告中,有 66% 受訪者表示組織曾遭受勒索軟體攻擊,這一比例在過去幾年沒有太大變動,但是平均支付金額卻逐年大增──從 2022 年的約 81.2 萬美元,增加到 2023 年的 154.2 萬美元。
除此,2022 年以來,支付較高贖金的組織比例也有所增加。其中 40% 的組織表示,他們支付了 100 萬美元或更多贖金,而去年只有 11% 的組織支付如此大筆的金額。
5. 網路安全的主要問題:不良的網路使用習慣
良好的網路使用習慣,是確保網路安全的重要課題。然而,IT 安全公司 Ivanti 研究指出,有三分之一的員工認為他們的網路安全習慣不會影響組織安全,而這現象在千禧世代和 Z 世代的年輕員工中很常見。
報告調查了密碼管理、網路釣魚連結點擊與共享裝置的行為,觀察到:
- 38% 40 歲以下的員工在多台設備上使用相同的密碼;40 歲以上的員工,有類似行為的比例為 19%。
- 40 歲以下的員工有 34% 與家人或朋友共用工作設備;40 歲以上員工,有類似行為的佔 19%。
- 40 歲以下的員工有 34% 在密碼使用出生日期,40 歲以上員工有 19% 也這麼做。
- 40 歲以下的員工中,有 13% 會點擊網路釣魚連結,但 40 歲以上會點擊的比例佔 8%。
6. 駭客正在使用 AI 改進攻擊手法
Brooks 表示,雖然大家開始覺得 AI 被過多炒作,但未來 2 年這股趨勢仍會繼續加速。根據 Gartner 報告,到 2026 年,80% 的企業將採用 AI。他觀察,駭客也正在使用 ChatGPT 來優化惡意軟體、個人化網路釣魚電子郵件,並且調整出能竊取特殊存取憑證的演算法。
根據國際數據集團 IDC,網路安全 AI 市場正以 23.6% 的複合年成長率成長,2027 年市場價值將達到 463 億美元。
7. 未來就在眼前──不是 AI,而是量子運算
Brooks 指出,美國在 2022 年 12 月通過《量子運算網路安全準備法》(Quantum Computing Cybersecurity Preparedness Act),目的是保護聯邦政府免於量子網路攻擊。他認為,隨著量子運算的技術成熟,相關的網路攻擊也將發生。
Brooks 觀察,量子運算目前正處於萌芽階段,將實現前所未有的處理速度和預測分析,進而解決資安相關問題。他表示,量子技術可望顛覆即時分析和網路安全等各個領域,而資安人員必須了解系統上所有發生的狀況,並快速發現異常狀況,例如惡意軟體或錯誤配置,以防止攻擊。
最後,Brooks 表示,2023 年全球發生了許多令人注目的資安事件,而綜合以上網路安全數據和趨勢,他預計 2024 年的網路威脅將是新舊混合體。他提醒,對於試圖保護資料和維護全球安全穩定的人來說,未來將是相當困難的一年。
