fbpx

最新消息

News & Events

勒索軟體仍為2024年製造業最大資安威脅,釣魚網站、社交工程手段亦不可輕忽!

by 07/08/2024
本文資料參考自 【iThome 2024資安大調查系列1】一般製造業未來一年資安態勢大剖析

在2024年,製造業需要特別關注以下幾個主要的資安風險:

  1. 勒索軟體攻擊:勒索軟體仍然是製造業面臨的主要威脅之一。這些攻擊會使生產線停擺,造成重大經濟損失。2023年製造業是受勒索軟體攻擊最嚴重的行業之一,攻擊頻率大幅上升。製造企業需要通過多層防禦策略,包括離線備份、網路分段和漏洞修補,來防範這類攻擊​ (ARX Alliance)​​ (Deloitte United States)​。
  2. 供應鏈攻擊:由於製造業依賴複雜的供應鏈系統,這些系統常常成為攻擊目標。攻擊者會利用供應鏈中的第三方軟體漏洞來入侵製造企業的系統。例如,2022年豐田因供應商遭受攻擊而導致多家工廠停產。為了減少這類風險,製造企業需要加強對供應商的安全審查、實施多因素認證以及嚴格控制第三方的系統存取權限​ (ARX Alliance)​​ (Manufacturing.net)​。
  3. 內部威脅:內部員工的惡意行為或疏忽也構成重大風險。這些威脅可能包括竊取知識產權、破壞設備或洩露敏感數據。為了應對內部威脅,企業應加強員工培訓、實施嚴格的存取控制並監控員工行為​ (ARX Alliance)​​ (Foley & Lardner LLP)​。
  4. 釣魚和社交工程攻擊:由於製造業員工數量龐大且分布廣泛,他們往往缺乏足夠的網絡安全意識,容易成為釣魚和社交工程攻擊的目標。企業應提供全面的安全意識培訓,並進行模擬釣魚測試來提高員工防範此類攻擊的能力​ (ARX Alliance)​​ (Manufacturing.net)​。
  5. 物聯網(IoT)漏洞:隨著製造業越來越多地使用物聯網設備,這些設備的安全漏洞成為新的攻擊點。企業需要確保所有連接的設備都有最新的安全補丁,並實施嚴格的存取控制​ (ARX Alliance)​​ (Deloitte United States)​。

製造業在2024年必須採取綜合性的網路安全措施,包括技術手段和員工培訓,以應對上述各種威脅,確保生產和數據安全。

連續四年來,勒索軟體事件一直是一般製造業中最大的資安威脅,並且每年發生的風險不斷上升。超過一半的製造業者認為,在未來一年內他們極有可能遭遇這類事件,擔心這種威脅的企業數量比去年增加了5%。多數製造業者特別擔心,一旦發生勒索軟體攻擊,會對企業帶來重大衝擊。這項威脅對製造業的影響最大。

勒索軟體是製造業首要風險

儘管勒索軟體是製造業最為擔心的威脅,但過去幾年受害的主要是大型製造企業。自2022年起,許多駭客組織轉型為勒索軟體即服務(RaaS, Ransomware as a Service)模式,更多犯罪團隊出現,攻擊目標從大型企業轉向中小型企業。一般製造業由於資安防護人力和資源嚴重不足,更容易成為攻擊目標。

根據Coveware在2024年第一季的報告,百人規模以下的企業遭攻擊比例達到28%,而中型企業的受害數量在過去兩年中不斷增加。不過,從攻擊途徑來看,不明來源的攻擊比例越來越高,2024年第一季接近一半。這顯示出攻擊手法變得更加多元化和隱蔽,而透過釣魚手法入侵的比例大幅減少。利用軟體漏洞的攻擊比例與2023年相當,約占一成多。值得注意的是,透過遠端存取的攻擊途徑有增加的趨勢,這是製造業需特別警戒的資安重點,減少遠端存取風險也能降低勒索軟體攻擊的風險。

強調資料備援的重要性

由於近年來一般製造業頻繁遭遇勒索軟體攻擊,48%的製造業者將異地備援列為今年的資安投資重點。這些努力使得資安長評估,在未來一年內,勒索軟體事件對製造業的影響規模將略微下降。有9%的製造業者今年開始不再將勒索軟體視為高衝擊的威脅。

信心分數偏低

在資安能力信心上,製造業是各行業中最低的。將信心水準分成五個等級,60分為及格線,整體行業平均67.1分,而製造業僅為64.4分。從NIST CSF網路安全框架2.0的六大面向來看,製造業對復原能力(64.4分)和保護能力(66.4分)稍有信心,但對偵測能力的信心最弱,僅有61.7分,表示對偵測網絡資安事件能力缺乏信心。主要阻礙因素包括員工資安意識不足(48%)和預算編列不足。

資安預算和投資

2024年,製造業的平均資安預算約為360萬元,是各行業中最低,但相較2023年增加了12.1%。這反映出製造業對資安的重視度提升。64%的企業將資安視為IT優先目標,42.7%計劃推動資安轉型,24%將投資零信任身分與設備鑑別。

次要風險

除了勒索軟體,製造業未來一年還需注意釣魚網站、社交工程、商業郵件詐騙和駭客攻擊。過半數企業將投入資源進行員工資安訓練,以提升他們的資安意識。值得注意的是,22.7%的製造業者認為高層資安意識不足是一大阻礙,18.7%認為高層低估創新應用的資安風險。

軟體供應鏈安全

2024年3月,XZ程式庫後門事件震驚IT業界,也讓國外再度掀起一股軟體供應鏈安全威脅的緊張氛圍,但臺灣的一般製造業是對軟體供應鏈安全最無感的產業,從今年資安大調查可以看到,在各產業中,多達19%的一般製造業者認為,自己在未來一年極不可能遭遇到軟體供應鏈資安事件,這個不在乎的比例遠高於其他產業。製造業者需提高警覺,重視軟體供應鏈安全,避免忽視可能的風險。

這些分析顯示,製造業在2024年必須全面提升資安防護能力,特別是在防範勒索軟體和加強員工資安意識方面。

Tags: