iThome在每年的大調查中了解企業當年的資安投資重點。今年列出了34項資安投資項目,供企業的資安長或資訊長進行複選。最後,根據各項資安投資重點的採用率高低,整理出企業今年的資安投資重點排行。
今年的34項資安投資項目與去年相比有不小的調整,將常見的資安基礎工作整合,例如去年名列前茅的網路安全、IT基礎架構防護及郵件防護,今年合併為「基礎端點與網路防護」。同時,也新增了更多新興或崛起的資安防護方法,例如PET隱私增強技術、攻擊面管理等。今年也將零信任資安細分為三項投資重點:「零信任身份與設備識別」、「零信任網路分段」和「零信任信任推斷」,更深入地了解企業導入零信任的規劃。
從今年的資安投資重點排名來看,名列前二的「基礎端點與網路防護」及「員工資安訓練」仍是企業資安的核心,超過半數企業將這兩項列為今年的投資重點。異地備援的採用率從去年的41.8%上升至今年的47.4%,因此在排名上超越了弱點評估,成為第三大資安投資重點。零信任資安的採用率也從去年的16.7%大幅上升,今年企業採用至少一項零信任作法的比例達到33.9%,顯示零信任成為企業今年的另一個重要投資方向。
此外,部分資安投資項目的採用率相較去年有明顯提升。例如應用程式安全防護的採用率從去年的21.4%增加到今年的31%;雲端安全的採用率也從去年的14.7%上升至今年的19.2%,位居今年資安投資重點的第13名,緊隨零信任身份與設備識別之後。對於威脅情資偵測的需求也大幅增加,去年有意投資威脅情資搜集的企業僅11.3%,今年則提升至17.5%。
除了資安投資重點排名可以看出企業對資安投資的優先順序,從新興科技的採用排名中,也可看到一些特定資安技術的採用趨勢。像是DevSecOps(開發安全運維一體化)的採用率從去年的6.9%接近翻倍至今年的17.1%,反映出不少企業今年積極推動資安左移,將安全考量納入軟體開發生命周期的早期階段。另有16.1%的企業採用FIDO網路身份識別。
然而,與軟體供應鏈安全相關的SBOM(軟體物料清單)仍然只有少數企業考慮採用,該技術的採用率從去年的1.4%上升至今年的4%。雖然金融業(7.4%)和高科技業(6.3%)對其重視有所增加,但整體採用比例仍屬偏低,顯示臺灣對SBOM的重視程度仍低於國際水準。
從網路防禦矩陣來看今年的資安投資布局
根據今年資安長和資訊長的年度目標調查,近半數企業今年要展開資安轉型,且有三成企業推動零信任資安,特別是在金融業和政府學校中,近半數企業將零信任資安列為今年的投資重點。
為了達成這些目標,企業在2024年的資安投資布局如何?iThome將34項資安投資重點與美國銀行首席安全科學家Sounil Yu在2016年發明的網路防禦矩陣(CDM,Cyber Defense Matrix)進行對應。
CDM矩陣是一個5×5的框架,橫軸包括NIST CSF的五大類別:識別、保護、偵測、回應和復原,縱軸則分為不同的資產類別:設備、應用程式、網路、資料及人員。這個矩陣在國際間受到重視,近年來也越來越多的臺灣企業參考該框架作為分析自身資安防護的工具。
iThome根據今年調查列出的34項資安投資重點,依照採用率數據分為Top10、Top11~20和Top21~30三個層級,分別以深藍、淺綠和紅色標示,並對應到NIST CSF的五大類別與可防護的資產類別,繪製出2024年企業資安投資的CDM網路防禦矩陣圖。
從這張矩陣圖可以看出,採用率最高的Top30項目主要集中在保護與識別方面,並且分散在不同的防禦面向,防護的完整性仍有待加強。
企業可以參照自己的資安投資重點,繪製相應的網路防禦矩陣,並與整體產業的CDM矩陣進行比較,從而調整自身的資安策略。
在去年臺灣資安大會上,Sounil Yu提出,2020年代將是「復原」的時代,強調企業韌性的重要性。他進一步介紹了新興的資安觀念D.I.E.(分散式、不可竄改、短暫的),鼓勵企業針對安全需求較低的資產,在系統設計階段採取這一策略。
今年的資安大調查揭示的CDM矩陣圖,為企業提供了一個與整體產業資安策略進行對比的參考,幫助企業思考是否需要調整資安布局。
企業如何繪製自己的網路防禦矩陣
網路防禦矩陣是以NIST CSF的五大類別為橫軸,資產類別為縱軸的5×5矩陣。iThome針對34項資安投資重點,對應出其在NIST CSF框架中的分類,企業可依此製作出自己的網路防禦矩陣,並以不同顏色區分出不同層級的資安投資重點。
【問卷說明】此次iThome資安大調查執行期間為2024年2月15日至3月15日,針對臺灣大型企業及政府機關進行調查,有效問卷共422份。