謝至恩CyberArk 在進入 2023 年第四季之前,發表了一份全球報告,揭示了不佳的經濟環境和 AI 等技術創新的快速發展正在加劇與身份相關的資訊安全風險。根據《CyberArk 2023 身份安全威脅情勢報告》,預計人類和機器的身份數量將增加 240%,而對數位和雲端計畫的投資速度正在超過資訊安全的投入,這種現象有可能導致「資安債」的持續擴大。
報告指出,由於經濟緊縮和數位轉型的加速,企業面臨著更高的風險。去年,企業組織經歷了資安債的增長,這主要是因為在疫情期間,資訊安全的支出普遍落後於更廣泛的數位業務計畫投資。到了 2023 年,經濟緊縮、員工流動率的升高、消費支出的下降,以及全球環境的不確定性等因素,將更可能讓資安債惡化。
受訪者普遍預期今年將面對與身份相關的威脅,這些威脅來自經濟壓力下的裁員、地緣政治因素、雲端採用以及混合工作型態等。多數受訪者 (58%) 表示,這些威脅將主要在雲端部署或舊有應用軟體遷移等數位轉型計畫中產生。此外,由於員工流動所帶來的資訊安全問題,例如不滿的前員工或被濫用的遺留憑證,超過三分之二 (68%) 的企業預期將在 2023 年面對這種問題。
CyberArk 大中華區技術顧問黃開印表示 93% 的受訪資訊安全專家預計今年會面臨 AI 威脅,以及近九成的受訪組織 (89%) 在過去一年遭受了勒索軟體攻擊。此外,67% 的能源、石油和天然氣公司預計無法阻止或甚至偵測到來自軟體供應鏈的攻擊。
身份是所有攻擊或幾乎所有攻擊的核心,包括人類和機器。由於各類身份在 IT 環境中沒有得到足夠的保護,這增加了相應的風險。例如,最高敏感性的員工存取權常常未受到足夠的保護,而未受管理的身份存取使得關鍵商業軟體成為風險最高的領域。
CyberArk 北亞區總監謝文駿指出,新的攻擊手法,如連線劫持 (Session Hijacking) 和供應鏈攻擊 (Cascading Supply Chain) 也讓安全環境更為複雜。更令人擔憂的是,生成式 AI 技術已被用於製造更真實的偽造身份,如假聲音和假照片,使得詐騙更加高明。
報告最後也提出了一些應對策略,包括落實零信任原則、安全存取敏感資料的策略,以及與可信賴的資訊安全合作夥伴整合等。這份報告不僅提供了實用的資訊,也有助於對抗未來的安全威脅。
