依據國際IT研究與顧問機構Gartner的數據顯示,生成式AI (Gen AI)、不安全的員工行為、第三方風險、持續性威脅暴露、董事會溝通落差、身份優先安全驗證等因素,將成為2024年影響資訊安全趨勢的動能。
Gartner 分析師指出,生成式AI已經成為企業資安主管十分關注的議題,資安主管還面臨資安人才供需失衡、企業導入雲端技術趨勢、資安法規要求及潛在網路威脅等各種挑戰。
從 2024 年資訊安全的主要趨勢分析內容,提出相關的建議,協助企業提高組織韌性與資安績效。
u 趨勢一:生成式AI長遠來看很有發展希望
生成式AI的在企業中應用趨勢日漸增長,在2024年Gartner CIO和技術主管調查中顯示,三分之一(34%)的企業已經計劃在未來12個月內部署生成式AI,資安主管也需要為此作好準備。
在全球資安人力短缺的情況之下,生成式AI技術應用在資安領域中,例如威脅情資過濾、未知漏洞檢測、釣魚偵測、異常偵測等,能協助資安部門減緩人力壓力、縮短資安事件應變時間,提升團隊運作效率等。
與此同時,生成式AI可能也會帶來了風險,如第三方存取敏感資料、個人資料外洩或錯誤的訊息提供等問題,因此,採用生成式AI技術的同時,也需要建立負責任AI框架,加強合規監管,確保生成式AI技術的安全和永續發展。
u 趨勢二:實施安全行為與文化計劃,減少人為因素造成的資安風險
Gartner 在2022年的調查即顯示,69%受訪員工承認在過去12個月內故意繞過安全管控;而有93%的員工知道他們的行為可能會增加企業的風險,但還是採取了這些行動。因此,Gartner在2024年將「安全行為與文化計畫(Security behavior and culture programs, SBCP)列入重要趨勢之一。
依據iThome的資安大調顯示,「員工資安意識不足」已經連續5年列為台灣企業資安弱點的第一名。企業想要擁有強韌的資安防禦,不僅需要進階資安技術解決方案,更需要配合良好的員工資安意識培訓,提高全體員工資安思維,並針對不同員工制定適性化的培訓計畫,以激發整個組織有意識地採用更安全的工作方式,以有效減少人為因素造成的資安事件。
u 趨勢三:透過好的資安成果指標向董事會報告
近年來全球資安事件頻傳,各國政府也陸續強化資安戰略、法規及各項應變措施,Gartner提出了16項以結果導向的指標(Outcome-Driven Metrics, ODM),建議可利用指標項目向董事會報告資安投資成效。
台灣也在2021年發布了「上市上櫃公司資通安全管控指引」,將資安納入內控以及公司治理評鑑項目,今(2024)年金管會與櫃買中心更發布了企業「重大資安事件」重訊標準。資安專責主管向董事會或是高階主管報告資安績效時,可透過風險管控、法規遵循及資安策略是否與企業營運目標保持一致性的角度,來呈現企業資安防禦投資的成效。
例如資安事件補救(Incident Remediation)指標,可以衡量企業阻止駭客事件並恢復正常業務運作所需的時間,如在 16 小時內修復事件比在 30 小時內修復事件提供更好的保護,縮短的14小時能減少業務損失等;依據法規,企業發生重大資安事件時,必須在台股開盤前2小時對外發布重大訊息,若未揭露依法可處新台幣3萬元~500萬元罰鍰。
此外,資安防護的投資,不只將軟硬體設備、以及資安服務費用加總計算,日常資安維運人員及員工資安教育訓練等,都是投資的成本之一,唯有軟實力與硬實力雙方加強,才能建全強韌的資安防禦。
u 趨勢四:第三方風險管理至關重要
軟體供應鏈攻擊持續發生,第三方不可避免地會遭遇資安事件,迫使資安專責主管轉向以韌性為導向地投資,放棄前期地盡職調查。Gartner 建議資安專責主管加強第三方風險管理,並與重要的外部合作夥伴建立互惠互利的關係,以確保企業資產持續受到保護。
同時,也需要針對構成最高資安風險的第三方制定緊急應變計畫,建立第三方事件手冊,進行沙盤推演並定義明確的退出策略,例如及時撤銷存取及銷毀資料等。
u 趨勢五:IAM和CTEM蓄勢待發
近年来,隨著SaaS應用加速、數位供應鏈擴展、遠距工作等因素,讓組織攻擊面大幅擴大,導致企業留下了許多盲點,以及大量需要解決的潛在風險。
Gartner表示,為了解決這類問題,許多企業開始採用持續性威脅曝露管理(Continuous Threat Exposure Management, CTEM)。CTEM可以提供企業持續評估數位和實體資產的可訪問性、暴露和可用性。Gartner 預測,到 2026 年,將 CTEM 計畫列為優先資安投資的企業組織,其漏洞數量減少三分之二。資安專責主管必須持續監控資訊環境,以便及早識別漏洞並確定最佳優先等級,從而幫助維護強化的組織攻擊面。
與此同時,身分識別與存取管理(Identity and Access Management, IAM)也變得越來越重要。Gartner建議資安專責主管需要加強身分鑑別,並利用身份威脅檢測和響應 (Identity Threat Detection and Response, ITDR)來輔助IAM有效守護企業資訊安全。
u 趨勢六:資安人才培訓帶領企業迎向未來
全球資安人才短缺是一個長期存在的問題,Gartner報告稱,僅在美國,合格的資安專業人員只能夠滿足當前需求的70%,且隨著技術不斷創新,也正在改變資安團隊成員所需的技能。企業必須要透過重新培訓現有人才和招募具有新技能的新人來培訓現有的團隊。
Gartner認為企業可以從內部招募具有相近技能的員工進行培訓,並針對企業所需的資安成員,定義其職能與技能需求,與員工交流其技能成長與職業發展方向,同時培養員工敏捷學習力,使其能夠快速並持續從經驗中學習,進而應用於工作當中。
安碁學苑為安碁資訊旗下子公司,整合安碁資訊20多年來資安服務的經驗,並依據國家資通安全研究院、美國NICE 及歐盟ECSF等資安職能框架,發展一系列資安職能培訓課程,協助企業培訓最具實務能力的資安人才。
參考資料來源:Gartner Identifies the Top Cybersecurity Trends for 2024