【iThome 2024資安大調查系列1】政府學校未來一年資安態勢大剖析

政府與學校所面臨的資安態勢，向來與其他產業有很大的不同，今年也不例外。國家級攻擊組織和一般駭客是未來一年，政府學校的首要資安威脅。這是和其他產業最大的不同。尤其是國家級攻擊組織的威脅，高達4成政府機關資安主管認為，未來一年極可能遭遇這類攻擊，更有6成政府資安主管擔心，一但遭遇，就會帶來重大衝擊。

國家級攻擊組織對政府學校的威脅，在2021、2022年時，雖然都是政府學校資安風險圖第一象限的高衝擊高風險威脅，但在排名上，還落後於社交工程手段、資安漏洞等其他類型的風險，可是，從去年開始，這類攻擊不論在發生風險和衝擊的排名上都明顯提高，在2023年的政府學校資安風險圖中，國家級攻擊組織的威脅，首度成為首要風險，和一般駭客的威脅並列。今年也不例外，這兩大威脅，同樣是2024～2025，政府與學校未來一年最需要警戒的首要風險。

在去年資安風險圖上，次要風險只有一項，但是今年，政府學校所面臨的次要風險項目，增加到了3項，除了社交工程手段之外，還包括了勒索軟體資安事件、資安漏洞（零時差漏洞）攻擊事件。

7項資安風險態勢明顯比去年更嚴重

若比較去年和今年資安風險態勢的變化，高達7項資安風險的威脅態勢明顯比去年更大。首要風險中的國家級攻擊組織的衝擊比去年更大，次要風險中的勒索軟體資安事件不論發生風險或衝擊都明顯提高，其餘兩項，社交工程手段和資安漏洞（零時差漏洞）攻擊事件則是發生風險比去年更高。第一象限風險中，另外還有兩項值得特別留意，釣魚網站威脅的發生風險比去年明顯更高，而資料外洩事件的衝擊也預期會比去年更高。

最後一項態勢不同的資安風險是位於第四象限邊緣的「行動裝置與App的攻擊」，政府資安長預期明顯會比去年帶來更大的衝擊。雖然這項威脅的發生風險較低，但一但發生，可能會出現預料之外的影響。

在這幾年資安即國安政策推動之下，政府學校的資安信心水準在各產業中屬於前段班。若將資安信心水準分成5個等級，極有信心是100分，有信心80，大致有信心60分，只有一點信心40分，沒有信心是20分。以60分（大致有信心）為及格線，整體產業平均是67.1分，政府學校的的信心分數達到72.1分，只有略低於金融業者。

其中，政府學校的資安防護能力哪一項較弱？從NIST CSF網路安全框架2.0版的六大面向來看，治理（Govern）、識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。政府學校對識別能力（69.8分）的信心最低，但這項能力的信心水準也高於一般製造、高科技製造、服務業和醫療業。

小心中國駭客網攻戰略的三大轉變

政府學校資安主管如何提高對資安風險的識別能力來進行更主動、適當的因應，除了可以參考我們這份2024～2025政府學校資安風險圖上的資安風險分布，來調整資安資源的投入優先順序和步局之外，去年，以資安態勢分析聞名，現為Google Cloud行政總裁的Mandiant創辦人Kevin Mandia，他揭露了對中國駭客網路攻擊戰略最新的分析，有三大轉變值得政府學校資安主管特別留意。

第一項是中國駭客近年逐漸捨棄了社交工程手法，轉為更系統性的挖掘零時差漏洞，一但發現這類漏洞，就有能力一次性發動大規模攻擊，帶來更強大的破壞力。而且第二項改變是，他們不只有計畫性地挖掘零時差漏洞，還經常鎖定網通設備，這幾年多起攻擊事件，後來發現就是中國駭客鎖定知名網通設備零時差漏洞。甚至在2023年1～9月間發現的62個零時差漏洞攻擊，一大部分是中國駭客所為。最後一項改變是，中國駭客網路攻擊朝向複雜匿蹤方式，大量挾持家用或中小企業路由器、IoT等設備，來打造一個遍及全球的網路攻擊跳板，如此複雜的網路跳接，讓調查人員的調查進度緩慢，更難以溯源追查。

這也意味著，政府學校得更留意各項零時差漏洞的通報和修補，一但出現了高風險的零時差漏洞，得盡快修補或先採取緩解、避險的作法。

政府學校在2024年的資安預算平均約2,491萬元，僅次於金融業，但遠高於其他產業，而且，政府學校資安預算連年成長，今年增加了11.8%，高達兩位數，也是各產業中資安預算成長最高者。不過，導致政府學校難以做好資安的最大阻礙因素是，資安人手嚴重不足的問題，高達6成政府學校資安人力不足，另有4成則因系統老舊而讓政府學校難以做好資安，這都是政府資安主管長期的重要課題。受限於法規，政府機構資安人力擴編規模有限，但今年仍有35%政府學校想要招募更多資安人力，其中8成政府機構想要招募具備威脅分析或鑑識能力的人才。

政府學校未來一年資安投資重點仍以基礎端點與網路防護，以及員工資安訓練為兩大重點。不過，今年高達7成政府機關想要推動資安轉型，這個比例也遠高於其他產業，整府機關更積極想要擁抱主動防禦策略、零信任架構、資安左移等新世代資安思維。隨著政府大力展開零信任架構的導入，今年高達41.5%政府學校要導入零信任身分與設備鑑別，26.8％政府機關要導入零信任網路分段，更有24.4％機關要導入到更進階的零信任信任推斷。在零信任架構採用上，政府學校是領先各產業，不論採用廣度和深度都是名列前茅。

10項政府學校未來一年要警戒的高衝擊高風險威脅

整體來說，政府學校在未來一年必須優先警戒的第一象限威脅，共有10項，可分為三大類來看，第一類攻擊者的威脅，包括了來自國家級攻擊組織、駭客和網路犯罪者所發動的攻擊，其次是三種攻擊途徑的風險，包括了社交工程手段、釣魚網站、以第三方為跳板的攻擊的攻擊。以及最後一類的資安攻擊事件也有四種，包括了勒索軟體資安事件、資安漏洞/零時差漏洞攻擊事件、資料外洩事件和被植入竊資軟體/後門木馬等資安風險。文⊙王宏仁 

 企業資安風險圖製作說明  在iThome 2024年CIO暨資安大調查中，由企業自評各資安項目的兩項指標，一項是該項目對企業帶來的衝擊程度（衝擊極高和衝擊極低），另一項是這個項目未來1年的發生風險（極可能發生與極不可能發生），再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊，位置越往上代表衝擊越大，水平軸是企業未來1 年發生該項目的風險，位置越右，代表可能性越大。紅色字的項目為今年發生風險明顯提高者，綠色字項目是今年預估衝擊明顯提高者，兩項皆明顯提高者為紫色文字。

 問卷說明  大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家，其中62.8%填答者為企業資安最高主管。

 相關報導