隨著資安威脅情勢不斷演變,主動性的資安漏洞管理已成為資訊服務供應商(MSP)和資訊團隊的首要任務。近期趨勢顯示,各組織愈發重視定期進行資安弱點掃描與評估,以即時發現並解決潛在的資安問題。
掌握這些趨勢能協助 MSP 和資訊團隊在應對潛在資安風險時保持領先優勢。根據 Kaseya 2024 年資安調查報告顯示,企業組織對於弱點評估的依賴度持續上升,並計劃在 2025 年繼續投資此領域。
企業大幅提升漏洞評估頻率
根據 2024 年的調查,執行每年四次以上資安漏洞評估的企業比例達到 24%,相較 2023 年的 15% 有顯著成長。此轉變顯示企業已深刻認識到持續性監控與快速因應新興威脅的重要性。值得注意的是,半年度評估的比例從 29% 下降至 18%,反映企業正朝向更頻繁的漏洞評估模式邁進,以建立更強韌的資安防護能力。
執行資安弱點掃描的頻率應考量環境風險等級與法規要求:
- 高風險區域(如對外服務的應用程式和關鍵基礎設施)須進行每日或每週掃描,次要系統則可採每月或每季掃描。
- 特定法規如支付卡產業資料安全標準(PCI DSS)明確要求至少每季進行一次弱點掃描。
- 進行重大基礎架構變更時(如新增雲端帳戶、調整網路架構或大幅更新網站應用程式),應提高掃描頻率。
持續性掃描提供全天候監控,能有效縮短從發現弱點到修補的時間,因此日益受到採用。在規劃掃描頻率時,必須考量科技的快速演進特性,以確保能在駭客利用漏洞前做好防護強化。
人為因素是資安威脅的首要來源
資訊安全專業人員最關注的議題已轉向使用者相關的資安問題。根據調查,將「缺乏終端使用者資安意識或教育訓練」視為資安事件主因的組織比例,從 2023 年的 28%大幅上升至 2024 年的 44%。同時,認為使用者不當操作或易受騙特性是重大問題的受訪者比例,也從 15% 顯著增加至 45%。
使用者的不當行為會以多種方式造成資安漏洞,其中最常見的情況是駭客取得使用者的登入憑證後,進而未經授權存取組織的網路系統。
此類人為因素導致的資安事件占整體資安事件的 60% 至 80%。
鑑於使用者已被資安專家明確指出為資安挑戰的關鍵因素,組織更需積極採取預防措施,包括定期進行弱點評估和教育訓練,以降低人為疏失帶來的資安風險。
資安漏洞管理躍升為網路安全投資重點
隨著企業資安成熟度提升,組織更加重視主動性的資安防護措施。2024 年投資漏洞評估的意願從 2023 年的 13% 成長一倍至 26%。此趨勢與雲端安全(33%)、自動化滲透測試(27%)和網路安全(26%)等領域的投資增長相互呼應,凸顯了在快速變化的威脅環境中,及時發現和解決資安漏洞的迫切性。
企業的資安投資效益已逐漸顯現,2024 年資安事件所造成的損失明顯減少。透過定期執行資安漏洞評估等主動防護措施,企業不但能有效降低資安事件的損失,更能強化組織的資安韌性。
資料來源:資安人