全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼:4704)近日發布最新《趨勢科技 2025 年資安風險報告》,揭示全球企業資安治理現況與趨勢。報告顯示,全球企業在資安風險指標(Cyber Risk Index,簡稱CRI)的分數正逐年下降,2024年平均CRI分數為38.4分,較2023年下降6.2分,反映出企業在導入主動式資安方案後,資安防護與風險管理能力顯著提升。
趨勢科技 2025 年資安風險報告:主動式資安治理成趨勢核心
趨勢科技企業平台長金敬秀表示:「趨勢科技客戶正在擁抱我們的主動式資安願景,採用AI驅動的Trend Vision One™ Cyber Risk Exposure Management主動式資安曝險管理來發掘風險,並判斷其防範優先次序。藉由這項優勢,他們就能建立資安韌性、迅速遏制威脅,而且時間和資源的利用也變得更有效率。只要心態和工具正確,任何企業都能依循這套作法治理資安。」
金敬秀強調,主動式資安治理結合正確的心態與工具,讓企業不僅能建構堅實的資安韌性,還能在面對日益複雜的威脅時迅速反應與抑制風險,同時提高資源與時間的運用效率。
過去一年當中,儘管全球企業整體仍落於「中度風險」區間,但CRI分數自2024年2月的42.5分一路下降至12月的36.3分,顯示企業資安治理正朝著更積極與持續評估的方向發展,並開始進行風險導向決策。
這項趨勢顯示,傳統的靜態防禦策略已無法應對當前瞬息萬變的威脅環境,企業逐步轉向動態、持續性的資安評估,並透過量化指標檢視資安策略的有效性。
根據今年報告,以下為重點摘要:
雲端應用程式成為最危險風險來源
報告指出,2024年最具威脅性的資安事件為「存取危險的雲端應用程式」,其次為「閒置的Microsoft Entra ID帳號」,顯示企業在雲端環境中的身分認證與存取管理(IAM)存在重大缺口。其他前十大資安風險則與電子郵件安全、使用者帳號管理以及登入憑證保護等相關,且多數風險與錯誤的組態設定息息相關。
值得注意的是,全球超過10億家機構在登入Entra ID帳號時未啟用多重認證(MFA),顯示企業在自動化身分防護機制上仍有明顯不足,需加速導入以降低暴露面。
漏洞平均修補時間(MTTP):歐洲與日本表現最佳
報告統計,2024年最常被偵測到且未修補的漏洞為上半年發布的「權限提升」(EoP)漏洞,屬於高嚴重性等級。從不同地區與產業的漏洞修補時間來看,歐洲(23.5天)與日本(27.5天)的MTTP表現最佳;在產業別上,非營利組織(19天)與科技業(22天)是漏洞修補速度最快的領域。
反觀醫療產業(41.5天)與電信業(38天)則是漏洞修補速度最慢的產業,顯示其在資安資源配置或作業流程上仍需改善。趨勢科技平均能在廠商釋出正式修補更新前三個月,提供虛擬修補以保護客戶。
產業與地區風險盤點:教育、能源與農業業最脆弱
報告指出,2024年CRI最高、曝險程度最大的產業分別為教育、通訊、能源及農業,顯示這些產業的資安防護仍處於相對薄弱的狀態,容易成為攻擊者鎖定的目標。
從地區來看,歐洲因應NIS2與DORA等資安法規的施行,CRI分數改善幅度最大,下降了7分。美洲及亞洲、中東與非洲(AMEA)地區則仍有進步空間。日本則再次展現資安治理的領先地位,CRI平均分數僅34.3分,為全球最低。
勒索病毒與AI新興威脅浮現
報告中指出,2024年通報的資安事件中,LockBit、RansomHub與Play勒索病毒為三大主要勒索軟體威脅。趨勢科技研究發現,CRI高於平均值的企業,其遭遇勒索病毒入侵的機率比CRI低於平均值的企業高出約12倍,顯示良好的資安治理有助於大幅降低攻擊風險。
此外,AI技術的崛起不僅為企業帶來更多防護工具,同時也孕育出新的威脅樣態。例如,AI輔助的深偽(deepfake)網路釣魚、虛擬綁架詐騙以及自動化駭客偵查,已成為資安防禦的新挑戰。然而,AI同時也成為資安人員的最佳助手,趨勢科技利用自家開發的資安大型語言模型(LLM)Trend Cybertron,協助企業更準確地預測與防禦網路攻擊。
推動主動式資安治理:企業應採取的行動建議
為了協助全球企業進一步降低CRI分數,趨勢科技建議企業採取以下主動式資安治理措施:
資安設定最佳化:企業應充分發揮資安產品功能,確保在發生組態設定錯誤、漏洞或其他風險時,能及時收到警報通知,並建立攻擊面的完整可視性。
迅速聯絡設備或帳號持有人:當偵測到高風險事件時,透過Trend Vision One Workbench搜尋功能,主動聯繫相關設備或帳號持有人,以利快速確認與調查。
盤點與管理閒置帳號:企業應刪除未使用的閒置帳號,停用有風險的帳號,並重新設定高強度密碼,全面啟用多重認證(MFA)以降低身份認證風險。
定期套用最新修補更新:企業需養成定期檢查與套用最新修補更新或升級應用程式、作業系統版本的習慣,降低系統漏洞風險。
《趨勢科技 2025 年資安風險報告》揭示,企業的資安治理已邁入主動防禦與持續性風險評估的新時代。隨著數位轉型的深化與雲端環境的普及,資安已不再是單純的防禦問題,而是企業營運韌性與競爭力的重要核心。全球企業若能積極導入AI技術,強化資安治理架構,並推動持續性的資安評估與風險導向決策,勢必將在這個充滿變數的網路威脅時代中,取得關鍵的競爭優勢。