2023 年對企業而言是充滿挑戰的一年,從經濟景氣動盪、混合工作到人才短缺,今年的企業營運風險仍詭譎多變。尤其大環境越混亂,針對企業的資安攻擊也更容易猖獗。根據最新《KPMG 2022 臺灣企業資安曝險大調查》,一般專業駭客就足以造成台灣多數企業莫大威脅,《KPMG 2022 台灣 CEO 前瞻大調查》更顯示高達 76% 的台灣 CEO 擔憂地緣政治升溫,也將加劇企業資安攻擊的風險。
因為資安威脅而帶來的企業財務與聲譽隱憂,已經成為企業領導人、CIO、CISO 的關注重點。目前企業資安威脅主要來自以下三大構面的挑戰,分別為新興技術、多元混合工作而帶來的資料與身份管理挑戰,以及國際資安合規等需求。
資安挑戰 1 —技術面:新興技術與網路犯罪方式逐漸多元
各式各樣新興科技趨勢,如生成式 AI 正在以驚人的速度發展。駭客演化得更擅長使用 AI,進行更進化的社交工程與釣魚攻擊;也會利用 AI 升級攻擊的威脅程度,並節省攻擊成本與提升攻擊效率。微軟調查顯示,網路釣魚犯罪者擅長結合時事來做攻擊。例如,ChatGPT 引發全球 AI 風潮,有心人士使用生成式 AI 技術產出釣魚惡意程式碼。
資安挑戰 2 —人力面:多元端點管理與混合工作,造成資安管理挑戰
根據《微軟零信任採用報告》,81% 企業組織已經開始轉向混合工作場所。混合工作模式讓企業員工可以在任何地方以不同的網路、不同的裝置登入企業平台。員工在企業與未註冊的個人設備中頻繁切換,也成為駭客最主要的攻擊目標。《2022 年 Microsoft 數位防禦報告》指出,一旦用戶的商務電子郵件遭到入侵,攻擊者平均只需花費 1 小時又 12 分鐘,就能成功存取用戶資料。
過往企業資安習慣針對每項需求購入單項資安解決方案進行防禦,但是在混合工作、多元裝置新常態下,降低了企業資安專業人員快速識別和回應潛在威脅的能力。同時多項解決方案造成的巨量情報整合困難,也會增加企業的 IT 支出和浪費生產力成本。
資安挑戰 3 —管理營運面:日漸升高的國際資料與安全合規需求
微軟研究結果顯示,針對員工規模超過 1,000 人的組織,72% 的 CISO 都深信「採用涵蓋資訊安全、法務遵循和身分識別的全方位產品系列」是「非常重要或極度重要」的一環。
市場調查機構 MDC Research 去年對 200 位美國決策者做的調查顯示,近 80% 的組織會為了要同時滿足歐盟通用數據保護條例 (GDPR)、加州消費者隱私法案 (CCPA)等不同區域嚴格的合規需求,而購買多樣產品,但最終也發現因各個解決方案無法順利整合而徒增營運成本。台灣也有明定資安稽查相關規範,若不合規也會讓企業蒙受額外損失。
在動盪環境確立「資安策略」,成為領導人新挑戰
在如此複雜且高度風險環繞的企業資安治理需求之下,比拼的就是企業領導人掌舵的能力;哪間企業先策劃出全面的資安治理環境、配置出最佳化的人員、工具與資源策略,就可以搶先對手一步專心投入商務與產品發展。其中,最重要的概念就是用對工具來節省資源,微軟即把自己定位為賦能者,提供符合企業日常營運需求的生產力工具,協助企業從管理與創新雙管齊下而且事半功倍。
面對企業資安挑戰,Microsoft 365 E3/E5 提供的雲端資料與安全保護服務,可協助企業從五大面向:設備、作業系統、數據安全、環境管理、協作流程開始建構企業生產力平台資安韌性。最大的改變就是將 IT 管理簡化、整合零散工具到單一的平台上,微軟 Microsoft 365 E3/E5 從「零信任基礎」、「端點簡化管理」與「協作生產力提升」三大角度開始改變企業的資安策略, Forrester Consulting 的調查發現,使用 Microsoft 365 E3 的企業平均可降低 35% 的資料外洩可能性。
科技報橘與台灣微軟聯合舉辦的「企業資安年度檢驗攻略」線上研討會中也分享到,98% 資安攻擊與身份驗證、存取權限管理相關,光是增強身份識別即可大幅度提升組織安全性。企業若採用零信任原則作為防禦策略,可以把傳統防火牆的靜態防禦,轉移成專注於用戶、資產與資源的動態防禦措施。透過多重身份驗證、單一登錄和訪問控制等作法,協助企業管理員工從不同裝置、地方都可以安全地存取企業資訊。
除此之外,多重裝置與多元環境也造成資安人員管理上很大的資源挑戰。使用 Microsoft Intune 雲原生工具,從應用程式、人員存取權與資料都可完整接受保障,甚至應用程式的部署與更新也可以透過 Windows Autopatch 自動執行 Windows、Microsoft 365 企業應用、Microsoft Edge 和 Microsoft Teams 更新,企業可以透過主動分析功能提前發現問題,確保裝置都處於合規與安全的範圍。Forrester Consulting 的調查也顯示,目前使用過 Microsoft 365 E3 的企業,高達 97% 表示 IT 人員在部署與更新端點的效率顯著提升。
全球工業電腦大廠研華實現「零信任策略」
資安人員在現代資安維護框架上常常疲於奔命,使用統一平台安全工具可以節省資安人員的專業時間成本、降低組織購入多項資安工具的預算,更能讓資安人員專心於實際潛在威脅的判讀與重要事件回應,而非將生產力卡在工具維運上。如此一來,也可以為組織創造更大的安全保障、提升 IT 資產管理效率。
舉例而言,全球工業電腦大廠研華旗下超過 5,000 名員工,在混合工作趨勢下,研華開始與自由系統合作,盤點工廠生產、跨地協作中的潛在資安威脅,並且發展零信任策略落地於業務中。串接 Microsoft 365 的相關安全工具後,研華發現可在不影響既有業務流程狀況下,大幅提升安全性可視度與管理員生產力。
類似的經驗也發生在日本電信公司 NTT Communications Corporation 上,目前14,000 名員工,其多達 80% 的工作都是遠程進行,面臨極大資安管理挑戰。數位化轉型訊息系統高級經理 Tatsuya Inada 表示,「80% 的設備都在公司外部,防火牆的外圍保護和本地設備管理不足以提供足夠的保護。此外,鑑於近年來網絡攻擊越來越複雜,需要新的機制來最大限度地減少損害。」
NTT 除了將 Microsoft 365 作為混合辦公的集團有力後盾之外,考量到 IT 維運成本、部署時間與維運效率,還將資安保護方案從 E3 升級到最高等級的 E5,以確保集團的混合辦公模式能被有效支援。
從研華與 NTT 這兩家重視資安的企業案例可看出,公司領導人需同時兼顧企業績效、財務風險與生產力創新需求,過往資安被當成是成本支出,而非針對市場競爭力的投資,但是在消費者數據隱私與資料治理價值升高的時代,主動滿足合規需求不僅能分散風險,還能確保企業專注於業務發展,甚至是延伸到提升生產力與促進團隊士氣。
Morgan Stanley《2022 年第 4 季美國科技業資訊長調查》的結果顯示,現今資訊長已紛紛優先考量資安相關投資,並認可主動且全面的方法所帶來的價值,微軟的調查也發現已經有 30% 具有前瞻視野的資安長,高度關注混合式、多雲端和多平台環境防護方面的安全防護落差,並且打算著手加以改善。問題及早發現便有及早解決的可能,同時企業曝險程度也會比競品來得低,尤其在企業資安人力高度短缺時代,找到對的工具讓資安戰力即時平衡,更能協助企業達成全方位的數位轉型策略執行。在動盪時代投資資安,不只能降低企業損失的風險,反而更能讓企業掌握彎道超車的機會。
免費下載更多精選資源:
《以簡馭繁 高效未來白皮書》:幫助企業在變動環境下,營運穩健成長、事半功倍
