【TechOrange 編輯部導讀】

據《IBM 2022 年度資訊安全威脅報告》，2021 年全球製造業受駭客攻擊的次數，首次超越金融業。駭客攻擊防不勝防，尤其資安人才缺口至今還無法填平，企業在 2023 年資安防護上又該注意哪些新挑戰呢？

2022 年全球政府、企業及各級組織，預計在網絡安全上花費 1700 億美元，相較 2021 多出 400 億美元。即便如此，仍有組織持續蒙受損失。

據美國資安公司 Illumio 今年 6 月發布的一份報告，有超過 76% 組織遭受過勒索軟體攻擊，另外有 66 %  組織經歷過至少一次的軟體供應鏈攻擊（Software supply chain attack），也就是供應商所交付的軟體，在軟體被編譯及授與憑證簽章前，就被駭客植入惡意程式，使得受感染的軟體能神不知鬼不覺的入侵組織的資料與系統。而這些攻擊背後，都可能造成數十億美元不等的損失。

如同細菌也會逐漸對藥物產生抗藥性，網路病毒、駭客攻擊，隨著資安防護力道加大，許多前所未有的入侵方式因應而生，科技媒體《ZDNET》盤點了 3 個 2023 年資安防護可能需面對的新問題。

1. 資安人力短缺， 70 萬生力軍仍填不了市場缺口

無論公司添購什麼樣的防護軟體，總是有更新的駭客伎倆、安全漏洞，等著組織破解。因此對於資安維護，人才一直是比技術更重要的核心。

據全球資安專業人員協會（ISC）² 去年一份報告指出，儘管每年約有 70 萬名新生力軍投入資安市場，但是全球資安技術人才市場至今仍是需求遠超越供給。情報技術諮詢公司 Booz Allen Hamilton 的國防資安事業負責人 Kelly Rozumalski 認為，網路威脅日趨複雜，一旦缺乏專業人才，等於把組織置於險境。

企業若想解決資安人員不足的燃眉之急，Kelly Rozumalski 建議企業不妨放寬搜索標準，將招募對象擴大到計算機科學、軟體工程，甚至心理學系，鼓勵來自不同背景的人才投入資安防護，快速壯大公司的資安團隊。

另外，除了一線資安人員，最新趨勢也顯示公司越來越重視整體資安防護措施的制定與監控，找到具有資安專業知識的董事成員越來越重要。據顧問公司海德思哲調查， 2020 年至 2021 年，大企業的新董事會成員其擁有資安專業知識的比例，從過去的 8％ 躍升至 17％ 。

一個可能的原因是，有懂資安的董事進入董事會，除了能給予資安團隊更有力支持，由上而下 Top down 資安政策到公司每個角落，也能為組織營造更無懈可擊的防護力。

2. 地緣政治掀駭客危機，慎防病毒潛藏於供應鏈

2022 年初烏俄戰爭爆發，俄羅斯向世界展示了網路攻擊如何成為現代戰爭的一大助力，促使全球政府單位更正視網路安全問題，並將資安防護議題升級為國安危機。

微軟一份報告顯示，2 月底到 4 月初期間俄羅斯在烏克蘭境內發動至少 37 次網絡攻擊。主要針對烏克蘭的關鍵基礎設施、當地電信供應商、能源網絡及政府網絡發動攻擊，例如在入侵初期，俄羅斯多次試圖切斷烏克蘭與他國的衛星通訊以及寬頻聯繫。

而受牽連的不僅是交火雙方，與該國有供應鏈來往、提供政治或軍事支持的國家，都可能遭受波及。例如今年上半年美國多家大型軟體科技公司以及政府機構，就發現被俄羅斯境外情報局攻擊，多間機構使用的軟體被迫更新成藏有惡意程式的版本。

前 FBI 網路部門助理主任 Matt Gorham 指出，這意味著組織不能只考慮遭受單一網路攻擊的風險，也要懂得如何檢測從盟友、上下游捎來的資源，揪出潛入供應鏈中的惡意程式與攻擊，學會如何集體控制、預防。

Matt Gorham 提醒，發動攻擊的駭客不一定總是使用高級技術，許多生活常見漏洞，例如系統密碼的安全等級薄弱、未定時定期更新應用程式版本，以及缺少雙重身份驗證（2FA），都可能成為使系統淪陷的最後一根稻草。

3. 新技術漏洞成駭客最愛，落地速度與安全性成兩難

Web3 和物聯網（IoT）等技術在今年取得長足發展，預計 2023 年這些新技術也能再創顛峰。

但就像任何新技術，伴隨著市場的期待情緒與炒作，軟體與服務往往會因為急著發布，而犧牲其安全性。如同過去無數起加密貨幣交易所遭駭客攻擊，被竊走百萬加密貨幣的事件，人們常常會因為過於興奮地使用新技術，而忽略安全漏洞。

儘管目前有許多發展 Web3 技術的單位會邀請眾多白帽駭客參與漏洞回報獎勵計劃（bug bounty hunter），揪出更多系統潛在的資安漏洞。但這些漏洞若率先被有攻擊意圖的駭客發現，仍可能對用戶造成代價高昂的損失。

而這還只是實驗性質的技術。近幾年發展飛速的物聯網技術，促使全球家庭與工作場所至少安裝了數十億台相關設備，其中甚至有助物聯網設備牽涉基礎民生設施或醫療保健。而這些與其他新技術一樣，都存在潛藏大量漏洞的風險，如果這些連線設備沒有得到妥善保護，一旦遭受攻擊破壞，足以使人們的生活與工作環境陷入困境。（責任編輯：游絨絨）

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：2023 資安防護的重中之重：70 萬資安生力軍仍填不了市場缺口，企業還能上哪找人？