資安危機警報：企業如何從重大事件中學習？

勒索軟體攻擊肆虐，醫療產業成為重災區；雲端安全事件頻傳，敏感資料外洩風險提升；AI 技術濫用，深度偽造技術引發新型詐騙。此外，軟體供應鏈攻擊事件頻繁發生，突顯企業對第三方風險管理的不足。各國政府加強網路安全法規監管，企業面臨更嚴峻的合規性壓力。這些事件都在提醒：資安已成為全球關注焦點，企業必須採取主動、積極的方式，才能有效應對不斷升溫的網路威脅。

一、勒索軟體攻擊肆虐：

Change Healthcare 勒索軟體攻擊，影響 1.1 億美國人，暴露醫療系統在保護敏感醫療資訊方面的漏洞，並導致醫療照護和帳單流程的嚴重中斷。Change Healthcare 被迫支付 2200 萬美元贖金，但駭客集團 RansomHub 仍然試圖向母公司 UnitedHealth Group 勒索更多。

此事件突顯勒索軟體攻擊對醫療產業的嚴重威脅，並引發國會對醫療機構強制執行基本安全標準的呼籲。此外，LockBit 勒索軟體集團攻擊，儘管國際刑警組織在二月份展開代號「Operation Cronos」的大規模執法，查封了與 LockBit 勒索軟體集團相關的伺服器和網域，並逮捕了數名嫌犯，但該集團的攻擊行動並未停止。LockBit 仍然是勒索軟體即服務 (RaaS) 的主要提供者。

二、雲端安全事件頻傳：

Snowflake 雲端資料倉庫公司客戶帳戶遭駭，網路犯罪集團 UNC5537 利用竊取的客戶憑證，系統性入侵 Snowflake 客戶的雲端資料倉庫，竊取敏感資料並試圖勒索受害者，AT&T 損失慘重，1.1 億用戶的電話和簡訊詮釋資料遭竊，據提交的報告指出，AT&T 支付了 37.7 萬美元贖金銷毀這些遭竊資料。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球 CIO 同步獲取精華見解 ]

另一起雲端安全事件則是 CrowdStrike 的 Falcon Sensor 安全軟體更新檔出現錯誤，導致全球約 850 萬台 Windows 系統崩潰。此事件影響航空公司、銀行、廣播公司和醫院等多個產業的組織。這起事件顯示，即使是安全軟體本身也可能存在漏洞，需要更嚴格的測試和品質控管流程。

三、資料外洩事件規模驚人：

美國國家公共資料外洩事件中，背景調查公司 National Public Data 在 2023 年 12 月遭駭客入侵，直到 2024 年 7 月，4TB 的遭竊資料被駭客公開在網路犯罪論壇上才被大眾所知。

這起事件導致 29 億筆記錄外洩，影響美國、英國和加拿約 1.7 億人。遭洩露的資訊包括社會安全號碼、姓名、地址、電子郵件和電話號碼等。National Public Data 在事後因面臨多起訴訟而宣布破產。

另一起事件 MOVEit 供應鏈攻擊，影響了超過 2,600 家機構，暴露 7700 萬筆紀錄。MOVEit 事件再次證明，軟體供應鏈安全已成為企業資安的重中之重，必須將供應商安全管理納入整體資安策略，才能有效防範此類攻擊。

四、AI 技術被濫用於網路犯罪：

深度偽造技術 (Deepfakes) 威脅升級，駭客利用 AI 技術生成的深度偽造音訊和影片進行詐騙，例如冒充公司高層進行視訊會議，誘騙員工進行轉帳。知名工程公司 Arup 就因此損失 2,560 萬美元。此外，北韓駭客也利用深度偽造技術，偽裝成 IT 人員在西方國家公司求職，藉此竊取敏感資訊。

五、網路安全法規監管日益嚴格：

歐盟的 NIS 2 指令擴大適用範圍，引進更嚴格的網路安全風險管理措施和事件通報機制。美國各州陸續通過全面性隱私法，GDPR 和 HIPAA 的執法也持續加強，2024 年的罰款總額分別高達 56 億和 53 億美元。美國證券交易委員會 (SEC) 也修訂資料外洩的披露規則，加重企業資安長的責任，並將個人責任歸屬納入考量。

面對日益嚴峻的資安挑戰，企業如何打造全方位防護？

Kiteworks 公司發布「2025 年管理私人內容曝光風險預測報告」，概述未來網路安全趨勢與挑戰。內容重點在於預測 2025 年的網路安全環境將更加複雜且充滿威脅，包括前文所述日益嚴格的法規要求、供應鏈攻擊、AI 濫用以及全球資料隱私法規的激增。

這份報告闡述 12 個關鍵的網路安全與合規趨勢，針對這些趨勢提出應對策略，例如：利用預測工具評估風險、投資先進的自動化安全系統、採用 AI 驅動的威脅檢測與回應、加強合規和治理框架、降低第三方風險以及關注安全的內容協同合作等。報告的目的是為企業領導者、IT 專業人員和安全團隊提供實用指南，幫助他們在不斷變化的網路安全環境中有效管理風險，並確保合規。報告內容含括案例分析、建議和策略規劃，並強調資料分級、多維度風險評估和量子計算帶來的風險等重要議題。

針對 Change Healthcare 事件暴露的醫療產業資安漏洞，報告建議醫療機構應優先採用零信任架構、進階威脅偵測和強大的資料治理，以符合日益複雜的法規環境。

Kiteworks 的 FedRAMP 中度授權私人內容網路支援近 90% 的 CMMC 2.0 Level 2 要求，能協助醫療機構有效保護 PHI 資訊並符合 HIPAA 法規。

而就 CrowdStrike 事件的安全問題，報告再度強調零信任安全模型的重要性，要求驗證所有連線和資料交換，並建議企業採用 NIST 和 CISA 最佳實作，包括例行軟體更新、有效的修補程式管理和深入軟體供應商風險評估。

Snowflake 事件突顯雲端安全的重要性。報告建議企業採用安全內容協作平台，實施動態存取管理和進階追蹤功能，並整合通訊安全，將電子郵件、檔案共享等系統整合到單一安全平台，提升管理效率並降低風險。

報告列舉主要趨勢與因應策略如下：

資料隱私與合規：強化資料治理，投資自動化工具，並指派專責人員。
軟體供應鏈安全：嚴格審查供應商，實施零信任模型，並進行例行性軟體更新。
多層次安全架構：採用縱深防禦策略，部署多種安全工具，如DLP、CDR、CSPM 等。
安全內容協作：使用安全的協作平台，實施動態存取管理和進階追蹤。
整合通訊安全：採用單一安全平台整合所有通訊工具，簡化管理。
API 安全與自動化：加強API安全性，利用自動化工作流程確保安全控制措施的一致性。
法規遵循：關注法規變化，主動進行準備評估，並加強第三方風險管理。
資料分級策略：利用自動化工具和 AI 技術對資料進行分級和標籤。
多維度風險評估：利用 AI 分析和威脅情報，評估各方面風險。
AI 資料安全風險：採用主動措施防範 AI 資料安全風險，如強化安全協定、使用隱私保護技術等。
以合規性為導向的安全性：將合規性融入安全策略的核心，利用自動化工具和客製化框架。
量子運算風險：及早準備，採用後量子密碼學標準，確保資料安全。

多種資安策略相輔相成，強化企業防禦。企業要建立完善的資訊安全防禦體系，單靠一種資安策略是不夠的。多種資安策略之間的相互作用，能產生更強大的防禦效果。

[ 推薦閱讀：DDoS 危機升級！AI 能否成為破解之道？]

例如，多層次安全架構與零信任模型結合，可以建立更嚴密的防禦層次；資料分級策略輔以安全的內容協作平台，能有效保護敏感資料；API 安全與自動化安全內容通訊流程的整合，則能提高效率並降低風險。

此外，AI 資料安全與合規性驅動的安全性也密不可分，能讓企業在利用 AI 技術的同時，確保安全合規。企業應將各種資安策略視為一個整體，而非孤立的個體。透過整合多種策略，企業可以建立更全面、更有效的安全防禦體系，降低資安風險，保護企業資產。

AI 時代資安保衛戰，企業如何得勝

為應對日益複雜的網路威脅，企業應採取多項措施，包括強化多層次安全防禦，建立更嚴密的防禦體系；加強雲端安全管理，並實施零信任安全模型；重視資料保護與隱私，建立完善的資料分級，並遵循相關法規；關注 AI 技術的風險與機會，建立 AI 治理框架，防範 AI 濫用；及早準備後量子密碼學，因應量子計算對現有加密技術的威脅。

此外，還應該與資安專家合作，定期進行安全評估，培養員工安全意識，整合多種資安策略，才能建立更完善的安全防禦體系，保障企業資產安全。

總結來說， 2024 年的網路安全事件再次提醒我們，網路安全是一個動態的過程，企業必須不斷調整安全策略，才能應對不斷變化的威脅。唯有透過多方合作，共同努力，才能構建一個更安全的網路環境。

(本文授權非營利轉載，請註明出處：CIO Taiwan)