TAcc+持續觀注新興科技產業脈動,協助新創團隊發展更具競爭力的戰略佈局。
接下來數周,我們將以專輯形式,透過較長篇幅的文章,針對下列領域:AI (Big data)、IoT、Healthcare (Digital health, Biotech, Medical device)、Cybersecurity、App,逐一解析產業發展趨勢與脈絡,讓您了解創新技術對產業的影響,並更加掌握過去數周我們針對主流技術的剖析觀點,協助您綜觀全局。
本期將為您解析「Cybersecurity」領域的產業趨勢。
Cybersecurity趨勢、商機及挑戰(上)
TAcc+新創分析師 毛國光
-資安是任何領域邁向數位化時揮之不去的痛,解決數位危機也是新創的商機。然而,對網路威脅風險的錯誤認知卻是台灣常見的問題,不僅低估威脅性,也常將其窄化為「技術問題」,忽略其他更多層面的考量。本文從網際網路源起的歷史脈絡談起,解析整體資安架構,並分析資安需求的產生,以及相關需求的感知;同時探討全球資安市場的攻防樣態;透過資安相關調查報告,分析市場需求,提供探索商機的評估。
1.網際網路起源 — IP-based Networks
早期的通訊是類比訊號透過接線方式進行訊號傳送,並逐漸由人工接線進化為機械式接線,例如傳統轉盤式電話就是透過0至9的號碼,讓機械收到不同號碼後做自動接線,此時期最大問題是通訊雙方會佔線,別人無法使用。進入數位化時代,訊號的傳遞轉變為將整體訊息 (Data) 切分成好幾段,傳輸時不一定要走同一個路線,送到接收方時再組合起來,這種模式稱為packet-switched network,其最小傳輸資料單元稱為Datagram,此模式的好處是可以選擇當下最適合的路線,分段、分線傳送,使得訊息的傳送比過去更快、更大,兩者傳輸方式可參閱下圖。
圖1 Analog and Digital Networks
資料來源:維基百科
網際網路 (Internet) 發展背景源自1950年代,通訊研究人員意識到讓不同電腦使用者與通訊網路間建立常規通訊的需求,促進相關運作機制的研究。1960年代,美國國防單位基於冷戰需要加大在此領域的投入,進而於1969年底,催生出全球第一個以封包交換運作的網路ARPANET (Advanced Research Project Agency網路),也帶動許多組織建立自己的網路,至1973年,為了將ARPANET與SAT NET (衛星網路)和ALOHA NET (夏威夷無線業務網路)聯網,想出了新的電腦交流協定,創造出TCP/IP (傳送控制協定/網際網路協定),伴隨1970年代,其他先進國家也跟上腳步,新的網路如雨後春筍般大量出現,直到1983年,TCP/IP開始成為美國通用協定,並不斷向外擴散,奠定了現今以IP-based為主的網路通訊傳輸環境。
在制定電腦網路標準方面,國際標準組織 (ISO) 於1984年發布ISO/IEC 7498標準,也就是開放式系統互聯模型 (Open System Interconnection Model, OSI),將電腦網路架構劃分為七層,由底層至最高依序為:Physical Layer→Data Link Layer→Network Layer→Transport Layer→Session Layer→Presentation Layer→Application Layer。與之相較,TCP/IP模型則是將所有網路協定都歸類到四層,由底層至最高依序為:Network Access (link) layer/網路存取 (連結) 層→Internet layer/網路互連層→Transport layer/傳輸層→Application layer/應用層,並成為全球通用的模型;時至今日,所有Internet的運作都遵循此通訊模式,如下圖所示:
圖2 Internet基本架構與數據流
資料來源:維基百科
Network Topology中的Router數量可以很多。Data Flow分為四層,其中最上層是Application layer,該層有很多Application,像FTP (用於檔案傳輸)、Http (用於全球資訊網的數據通信之基礎) 等都是一個Application。Application layer下面有很多數據的流動,往下一層是Transport layer,再往下一層是Internet layer,最底層是Link layer。數據每往下一層,就多加一個header,每往上一層就去掉一個header。
同時,隨著使用需求的上升,每層的網路協定也與時俱進,例如在Transport layer,初始採用UDP (User Datagram Protocol),因UDP只傳輸資料,沒有確認對方是否有收到,須由Application layer來確認資料是否傳輸完整,不是很可靠,執行上造成許多問題。後來進化到TCP (Transmission Control Protocol),TCP每次發送訊息都會確認接收方是否有收到,若沒收到就重送;近期則因為需求轉變,例如影音串流資訊的傳輸要求速度快,傳輸的穩定性提高,在這種狀況下,有些人也用UDP。
另於Internet layer,最為大家熟知的是IP Address,由早期的IPv4版本 (32Bit),因IP Address的數據組合不敷使用,而擴充至IPv6版本 (128Bit)。Link layer的MAC協定,會將每個電腦裝置設定不同的MAC Address來標記每個裝置;Application layer重大的協定則是於1989年由英國科學家Timothy John Berners-Lee發展出HTTP/超文本傳輸協定 (Hyper Text Transfer Protocol),其於同年發明了全球資訊網 (World Wide Web, WWW),再於1990年設計並構建了世界第一個網頁瀏覽器與網頁伺服器,世界第一個網站則於1991年8月6日上線。本來HTTP協定下,電腦跟網站之間的訊息傳輸是沒有加密的,1994年配合資安需求建立HTTPS協定,透過加密套件和憑證機制,避免資訊被竊聽或攻擊。其他如TLS/SSL是為網際網路通訊提供安全及資料完整性保障的安全協定、SMTP是用於網際網路上傳輸電子郵件的標準、DNS為將域名和IP位址相互對映的一個分散式資料庫。
在IP-based Networks環境下,LAN (Local Area Network) 與WAN (Wide Area Network) 之間,會透過Router來進行WAN與LAN之間數據的雙向傳輸,Router同時具有LAN跟WAN的IP位址,扮演兩者間的仲介者。大家熟知的家庭網路就是LAN的一種,常見裝置包括手機、平板、筆電、桌電、寬頻電視等,且由於許多裝置都已使用無線傳輸,使得WLAN (Wireless Local Area Network) 逐漸取代傳統使用網路線的LAN。Internet則是現今最大的WAN,幾乎涵蓋了全球。其他依照覆蓋範圍的不同,還有MAN (Metropolitan Area Network)、CAN (Campus network)、SAN (Storage area network)、PAN (Personal Area Network) 等。
圖3 LAN、Router與WAN
資料來源:維基百科、SecurTec
伴隨科技的日新月異,傳統的IP-based Networks環境也持續面臨變革,例如第五代行動通訊技術 (5G) 的起用商轉,就可能對使用Router的LAN運作模式帶來更大的影響,這由現今已有許多人只買手機的4G吃到飽方案,再用手機開Wi-Fi分享給其他家庭裡的聯網裝置,就可看出端倪。現代網路的發展是從LAN開始,擴展至WAN,成為今日的Internet。傳統網路都包括LAN,例如Wi-Fi,但是5G傳輸速度夠快、傳輸量夠高、延遲性低,所以可以跳過LAN。
從上述的歷史脈絡,可知Internet起源於1960年代,WWW起源於1989年;前者主要是硬體,後者是軟體;Internet由計算機、路由器、電纜、橋接器、服務器、基地塔、衛星等組成,WWW則是由文字、圖像、音訊、影片等訊息組成;ARPANET是第一個Internet,WWW源自NSFNET (美國國家科學基金會建立了美國超級電腦中心與學術機構之間互聯基於TCP/IP技術的骨幹網路);Internet在網際網路協定的基礎上運作,WWW在超文本傳輸協定 (HTTP) 的基礎上運作;Internet本身獨立運作,WWW需要有Internet才能運作;IP Addresses是Internet的網路地址,URL是WWW裡的網頁地址。
2.資安需求產生 — 從Cyberspace到Cybersecurity
Internet經過愈來愈多人使用後,成為一個虛擬世界,大家給予這個世界不同定義,即所謂Cyberspace。然而,這個資料傳輸的便利虛擬環境,卻成為有心人士竊取有價值資料的溫床,使得資安成為一個新興的議題。初始的資安涵蓋範圍較小,稱為Network security,其主要商機來自於企業使用的各種網路設備對於資安防護的要求很高,且也只有企業用戶的財力能買得起這些設備。隨著資訊、通訊產業的進步,人手一機、人手一電腦,乃至於IoT裝置的興盛,讓資安的範疇擴大為Cybersecurity,雖然兩者之間沒有清楚的界限,但仍可明顯感知到涵蓋範疇的差異,也促使資安成為全民之需求,大家開始會購買資安設備或服務來保護自己的資料與設備。至於Information Security的涵蓋範疇,除上述資安需求外,還包括未聯網的Information,像是個人的護照密碼等,範疇最大。下圖顯示不同定義下的資安範疇。
圖4 不同定義下的資安涵蓋範疇比較
從ARPANET建立起,網際網路空間持續擴增,加入到網路空間的人群,也從彼此熟識的學校、政府研究人員,逐漸擴大到世界各國的學術與政府機構人員,且自1980年起個人電腦的市場蓬勃發展,使得連上網的人群不再是少數人,普羅大眾、公司行號的使用者與日俱增,伴隨各種通訊協定的完備,也加快各網路之間的整合與互聯,整個網際網路空間的範圍也不斷擴大。
1983年美國一部冷戰科幻電影名為戰爭遊戲 (Wargames),敘述一位喜歡玩電腦的學生,在家中操作電腦時,無意間連上美國國防部的核武系統,原以為是電腦遊戲,沒想到卻開啟了核武發射程式,影片中的「駭客」一詞也開始廣為人知,此片可說忠實地反映了當時的網路空間還沒有很深刻的資安防護意識,例如網際網路發展的初始期,負責管理網路運作的工程師基本上具有無限的權限,可隨時觀看他人的Email或從後台控制他人的電腦,因為當時還沒有很完善的管理制度,此時期發生的資安問題常是無意間發生。
進入1990年代,駭客們逐漸從為了證明自己很厲害,演變為財務動機或國家間的網軍戰爭,如果駭客斷絕某個人的上網能力,將對其生活各方面造成很大的困擾,此時期要做好資安必須靠合作努力才可達成,而非單打獨鬥,從Network Security到Cybersecurity的需求與市場快速成長,與一般意識到的駭客攻防、個人密碼設定不同,實務上更聚焦透過各種裝置的聯防來做好資安,而不能單靠駭客間的攻防,僅依賴攻防結果碰運氣保護資安。
3.資安需求感知 — 從事件發生到攻擊感知
全球資安事件的發生頻率持續增加,資安犯罪愈來愈多,且無遠弗屆,幾乎所有企業都被攻擊過。從已知企業受害的損失,加上不知道自己被攻擊的黑數,以及對個人可能造成的損失,對應到目前資安投資的金額,損失與投資之間不成比例,顯示資安其實是很大的產業,深具未來發展潛力。臺灣地處全球資安的中原地區,因本身的資通訊基礎設施環境相對完善,且為全球科技業重鎮,加上兩岸政治、軍事對峙等國情因素,匯集各路人馬前來測試與攻防。
3.1 成功進行網絡攻擊的頻率(Frequency of Successful Cyberattacks)
CyberEdge 2021年報告統計過去一年全球企業發生資安事件之頻率,其中13.8%的受訪企業表示沒有發生,1至5次的有46.4%,6至10次的有24.7%,超過10次的有15%,另比較2014至2021年間有發生過資安事件的企業占比,則是從61.9% → 70.5% → 75.6% → 79.2% → 77.2% → 78.0% → 80.7% → 86.2%,顯示資安事件的發生頻率逐年攀升。
國內也有iThome針對臺灣企業發生資安事件的頻率進行調查,其中12.2%受訪企業表示沒有發生,1至9次的有45.7%,10至49次的有14.6%,50次以上的有21.5%,另有6%受訪企業表示不知道,臺灣每年發生10次以上資安事件的企業占比達36.1%,遠超過全球平均,顯示臺灣為全球資安領域的中原地區。
3.2 企業感知資安態勢(Perceived Security Posture)
Cybersecurity產業涵蓋的範疇有多大,可由表1觀察出來,資安市場與研究諮詢公司CyberEdge,請受訪企業IT部門,對轄下各種裝置與物件抵禦網路威脅的能力,以1至5分進行評分,5分表示抵禦能力最高,統計結果如下表:
表1 企業感知資安態勢
| 企業轄下裝置與物件 | 2021年 | 2020年 |
| Servers (Physical and virtual) | 4.11 | 4.14 |
| Websites and web applications | 4.08 | 4.09 |
| Cloud applications (SaaS) | 4.08 | 4.09 |
| Datastores (file servers, databases, SANs) | 4.06 | 4.10 |
| Cloud infrastructure (IaaS, PaaS) | 4.03 | 4.06 |
| Desktops (PCS) | 4.02 | 4.04 |
| Application programming interfaces (APIs) | 4.02 | 4.06 |
| Laptops / notebooks | 4.01 | 4.08 |
| Application containers | 4.00 | 3.92 |
| Network perimeter / DMZ (public web servers) | 3.95 | 4.07 |
| Industrial control systems (ICS) / SCADA devices | 3.95 | 3.96 |
| Internet of Things (IoT) | 3.93 | 4.01 |
| Mobile devices (smartphones, tables) | 3.92 | 4.04 |
資料來源:CyberEdge
由表1可觀察到,Cybersecurity產業至少涵蓋13類企業必須要保護的裝置與物件,每一項的後面都代表著大量資安產品和服務的採購,Forbes估算2020年全球資安市場規模達1,730億美元,預計2026年將成長至2,700億美元,從上述這些項目的變化,可觀察出全球資安商機的變化,每個項目數字的些微變化,都意味著以億美元為單位的市場與商機變化。
另從2021年的分數相較2020年普遍下降,其中Network perimeter / DMZ (public web servers)、Mobile devices (smartphones, tables)、Internet of Things (IoT)是下降最多的裝置,凸顯受到疫情影響,遠距與在家工作導致使用個人與行動裝置辦公的比率增加,很難進行資安管理,只要有人攜帶隨身裝置到機敏場域偷資料,很難防止,也造成企業在資安防護上的風險增加。唯一分數上升的是Application containers,顯示Container已成主流技術,被廣泛使用,資安也受到重視;以上數據的變化,都可看出資安商機的變化,例如OT是很早就在運作的部門,如水庫管理等系統,現在IT逐漸興起,一開始還沒有與OT相連結,直到IIoT時代的興起,迫使兩邊開始整合,進而產生資安問題,此也是Industrial control systems分數偏低之原因。
4.全球資安市場的攻防樣態
如何觀察資安市場的需求,可由企業未來打算購買的資安商品來分析。以下我們從企業自認防護最弱的部分來分析,由表1的13類企業常用裝置與物件的資安感知態勢中可看出,2021年分數最低的是Mobile devices (smartphones, tables),IoT與Industrial control systems (ICS) / SCADA devices。
IoT後續將有專章進行討論,以下聚焦Mobile devices與Industrial control systems (ICS) / SCADA devices。
4.1 Endpoint & Mobile Security Technologies
表2列出的端點技術與市場需求,規劃採購的比例越高,表示商機越大,市面上已有下表所列八種端點防護技術,例如Deception technology / honeypot,有些人認為在端點比較難防禦的情況下,這是比較有效的方式,就是透過刻意設置讓駭客以為是真的裝置,吸引其來攻擊,藉此掌握駭客攻擊手段與新手法的一種端點防護技術,目前已用此技術的受訪企業占比最少,規劃採購的企業占比最高,凸顯其為端點防護的新興商機。
表2端點防護技術與市場需求
| 端點防護技術 | 目前已用 | 規劃採購 | 沒計畫 |
| Basic anti-virus / anti-malware | 70.5% | 22.2% | 7.3% |
| Data loss / leak prevention (DLP) | 58.1% | 30.4% | 11.5% |
| Advanced anti-virus / anti-malware (machine learning, behavior monitoring, sandboxing) | 56.8% | 36.1% | 7.1% |
| Application control (whitelist / blacklist) | 55.1% | 32.9% | 12.0% |
| Disk encryption | 54.0% | 34.4% | 11.6% |
| Digital forensics / incident resolution | 51.3% | 35.8% | 13.0% |
| Brower / internet isolation and micro-virtualization | 48.2% | 38.3% | 13.5% |
| Deception technology / honeypot | 41.8% | 41.3% | 16.9% |
資料來源:CyberEdge
4.2 Operations Technologies
再舉例分數同樣很低的Industrial control systems (ICS) / SCADA devices,市面上已有表3的10種資安管理運營技術,表中所列的每一個項目,都代表龐大的資安商機。
表3 資安管理運營技術與市場需求
| 資安管理運營技術 | 目前已用 | 規劃採購 | 沒計畫 |
| Patch management | 56.7% | 29.1% | 14.2% |
| Advanced security analytics (e.g., with machine learning, AI) | 56.1% | 34.9% | 9.0% |
| Security configuration management (SCM) | 55.2% | 32.3% | 12.5% |
| Security information and event management (SIEM) | 50.6% | 37.3% | 12.0% |
| Vulnerability assessment / management | 50.3% | 38.3% | 11.4% |
| Security orchestration, automation and response (SOAR) | 49.6% | 35.6% | 14.8% |
| Full-packet capture and analysis | 49.5% | 38.8% | 11.7% |
| Penetration testing / attack simulation software | 47.9% | 39.9% | 12.1% |
| User and entity behavior analytics (UEBA) | 46.6% | 37.4% | 16.0% |
| Threat intelligence platform (TIP) or service | 43.0% | 43.5% | 13.5% |
資料來源:CyberEdge
4.3 網絡威脅的類型(Types of Cyberthreats)
上面以防護的面向為論述,接下來我們分析真正駭客的攻擊手法,表4列出12類常見的網絡威脅,可看到2021年的分數皆高於2020年,顯示受訪企業普遍感受到網絡威脅的持續上升,Malware是威脅程度最高的類型,分數越高,表示威脅越高。
表4 網絡威脅的類型與整體關注度
| 網絡威脅的類型 | 2021年 | 2020年 |
| Malware (viruses, worms, Trojans) | 4.04 | 4.00 |
| Ransomware | 3.99 | 3.95 |
| Phishing / spear-phishing attacks | 3.99 | 3.95 |
| Account takeover / credential abuse attacks | 3.98 | 3.93 |
| Denial of service (Dos / DDos) attacks | 3.98 | 3.90 |
| Advanced persistent threats (APTs) / targeted attacks | 3.97 | 3.87 |
| Web application attacks (SQL injections, cross-site scripting) | 3.94 | 3.85 |
| SSL-encrypted threats | 3.92 | 3.86 |
| Drive-by downloads / watering-hole attacks | 3.90 | 3.84 |
| Insider threats / data exfiltration by employees | 3.88 | 3.85 |
| Attacks on brand and reputation in social media on the web | 3.87 | 3.84 |
| Zero-day attacks (against publicly unknown vulnerabillities) | 3.86 | 3.79 |
資料來源:CyberEdge
(1) Malware
首先我們來談Malware,惡意軟體設計用於不被發現的訪問或損壞電腦,種類繁多,包括間諜軟體 (例如鍵盤記錄器等竊取敏感信息軟體)、病毒 (幾乎所有病毒都附加到可執行文件)、蠕蟲 (能夠在您的系統上進行自我複制)、特洛伊木馬 (打開軟體/文件,創建後門)、漏洞利用包 (發現或利用應用程式或系統中的安全漏洞的程序或代碼段)、殭屍網絡 (可以發起基礎廣泛的「遠距控制」洪水式攻擊)、勒索軟體、廣告軟體 (不需要的廣告、彈出視窗或無法關閉的視窗)、挖礦程式等。
Malware Top Detections of 2020
Malwarebytes的報告顯示,疫情為2020年各種攻擊方式的惡意軟體間之消長帶來很大的變化,其中Hack Tool、Rogue、Spyware三種攻擊方式的增幅明顯,Ransom、Backdoor、Trojan三種攻擊方式的減幅最明顯。另惡意軟體整體對Windows攻擊的數量減少12%,其中對於企業的攻擊減少24%,對消費者的攻擊減少11%。整體對Mac攻擊的數量減少38%,其中對於企業的攻擊增加31%,對消費者的攻擊減少40%。造成增減的因素很多,影響層面來自疫情以及市佔率的變化等。
(2) Ransomware
COVEWARE調查2020年勒索軟體的平均勒索贖金相較2019年大幅上升,另從近幾年被勒索的組織持續增加,以及選擇支付贖金的組織增加,可印證出因為有利可圖,使得勒索軟體的攻擊量增加。趨勢科技的報告統計,政府機關、銀行、製造及醫療是受到勒索病毒攻擊最嚴重的幾個產業。
表5 每季度平均勒索贖金
| 平均勒索贖金(美元) | 2020年 | 2019年 |
| Q1 | $111,605 | $12,762 |
| Q2 | $178,254 | $36,295 |
| Q3 | $233,817 | $41,198 |
| Q4 | $154,108 | $84,116 |
資料來源:Coveware
表6面對勒索的應對方式與結果
| 平均勒索贖金(美元) | 2021年 | 2020年 | 2019年 | 2018年 |
| 被勒索影響的組織 | 68.5% | 62.4% | 56.1% | 55.1% |
| 選擇支付贖金 | 57.0% | 57.7% | 45.0% | 38.7% |
| 支付贖金且復原資料 | 71.6% | 66.8% | 61.2% | 49.4% |
| 支付贖金仍失去資料 | 28.4% | 33.2% | 38.8% | 50.6% |
| 選擇拒付贖金 | 43.0% | 42.3% | 55.0% | 61.3% |
| 拒付贖金但復原資料 | – | 84.5% | 80.8% | 87.0% |
| 拒付贖金且失去資料 | – | 15.5% | 19.2% | 13.0% |
資料來源:CyberEdge
(3) Phishing
釣魚的方式有很多,其中最有破壞性的釣魚方式俗稱釣鯨魚,也就是企業裡的高階領導人,因為此群體很繁忙,常沒時間參加內部資安訓練,資安防護的觀念有時反而比較薄弱,駭客只要掌握住關鍵人物的帳號,就更容易引起更嚴重的攻擊效果,例如針對公司高階主管做攻擊,再透過主管權限與權威,命令下屬點擊釣魚信件,其餘像是Dropbox/Google docs phishing、Social media scams、Phone phishing (Voice=Vishing, SMS=Smishing ),Evil twin則是透過以假亂真的環境來欺騙使用者上鉤。常見的釣魚方式則是透過Email為主,其次是Office 365 Account。
(4) Account Takeover/Credential Abuse
帳戶接管與憑據濫用攻擊,是表4中排名第四高的網絡威脅類型,相關防護技術與市場需求如下表所示,其中Adaptive / risk-based authentication與Password management / automated reset是目前最普及的技術,由於整個系統是建置在Password security的管理機制上,很多人的Password多到難以管理與定期更新,也使得在家工作者的設備易遭攻擊,Biometrics (運用眼球、指紋辨識等) 與Federated identity management (SAML, Oauth)等較為新興的技術需求也因而增加。
表7身份和訪問管理技術與市場需求
| 身份和訪問管理技術 | 目前已用 | 規劃採購 | 沒計畫 |
| Adaptive / risk-based authentication | 56.3% | 32.9% | 10.8% |
| Password management / automated reset | 54.6% | 34.5% | 10.9% |
| Privileged account / access management (PAM) | 51.4% | 34.5% | 14.1% |
| Identity-as-a-Service (IDaaS) | 51.2% | 33.5% | 15.4% |
| Tokens (hardware or software) | 50.8% | 34.5% | 14.7% |
| User / account provisioning and de-provisioning | 50.6% | 36.4% | 13.0% |
| Identity analytics | 50.4% | 36.0% | 13.6% |
| Two- / multi-factor (2FA / MFA) authentication | 49.8% | 36.3% | 14.0% |
| Single sign-on (SSO) | 49.8% | 36.6% | 13.6% |
| Smart cards | 46.2% | 35.0% | 18.9% |
| Federated identity management (SAML, Oauth) | 44.1% | 37.4% | 18.6% |
| Biometrics | 41.8% | 40.1% | 18.1% |
資料來源:CyberEdge
(5) Denial-of-Service (DoS) Attack
DoS網絡威脅通常鎖定大型活動 (例如世大運等),利用此攻擊手法製造大量的流量,癱瘓主辦單位的系統,造成無法順利登入、瀏覽等。DOS攻擊通常是通過向目標主機或資源中注入多餘的請求來完成的,以使系統超載並阻止某些或所有合法請求得到滿足;分佈式拒絕服務 (Distributed Denial of Service, DDoS) 攻擊,則進化為淹沒受害者的傳入流量來自許多不同的來源,使防禦方無法僅透過阻止單個來源來阻止攻擊。另為了擴大攻擊流量,常見DNS (Domain Name Service) Amplification、NTP (Network Time Protocol) Amplification。
DNS放大攻擊是駭客利用掌握的殭屍電腦,向未做好安全設定的DNS server發出偽造的DNS query封包,偽造成受害者的IP位置成來源位置來進行遞迴查詢,創造出100倍的放大流量。
NTP放大攻擊是利用NTP伺服器的弱點,因NTP協定制定年代較早,對使用者權限未嚴密管制,任何人皆能使用此指令,要求提供NTP服務之伺服器回應,雖然已有新版本,但仍有許多組織未更新,攻擊者只要執行一個指令也就是傳送一個封包,就能產生100個封包的放大效果。
(6) Advanced Persistent Threat (APT)
APT是屬於最可怕的攻擊手法,常見於各國網軍之間的長期互相滲透與攻防,受害者一旦被盯上,除非有國家級的網軍協助,一般都難以脫身。
(7) Web Application Threats
由於Web Application的應用非常廣泛,漏洞也多,駭客可藉此取得用戶的個資等機敏資訊,攻擊成本很低,駭客愛用。
(8) SSL Encrypted Threat
駭客將攻擊指令加密,讓防禦者須解密才能分析其攻擊手法,藉此提升攻擊效果。
(9) Drive-by download Attack
路過式下載是利用系統、應用程式和瀏覽器的漏洞植入惡意程式的一種攻擊手段。駭客先入侵無辜的網站,使得該網站的訪問者不小心下載到惡意代碼。
(10) Insider threats
來自於組織內部的資安威脅,例如內部員工洩露資料等。
(11) Watering hole Attack
一種安全漏洞利用,攻擊者通過感染已知該組成員會造訪的網站,如同野獸會到水池邊喝水一般,來設法損害特定的對象,目的是感染目標用戶的電腦,並在目標工作地點獲得對網絡的造訪。
(12) Zero-day Attack
零日漏洞是指供應商未知的軟體漏洞,只要駭客掌握住,即可在防禦方未知的情況下發動攻擊。
5. 從資安相關調查報告分析市場需求
5.1 資料外洩調查
Verizon資料外洩調查報告針對資安事件與成功侵入案件進行統計,結果顯示Hacking是最常見的攻擊手法,佔所有成功侵入案件的45%,操作錯誤 (Errors) 與社交攻擊 (Social attack) 各佔22%、惡意軟體 (Malware) 17%排第四。在這些侵入的背後,70%攻擊者來自組織外部,55%是職業組織犯罪團體策動,30%的侵入有來自組織內部人員的參與。
被侵入之受害者中,81%的侵入行為在幾天或更短時間內得到遏制,72%的侵入涉及大型企業的受害者,小型企業受害者佔28%,顯示有錢者較易被攻擊,58%的受害者之個人數據遭到破壞,其他關於侵入案件的共同點是:86%的侵入案是基於財務動機,43%的侵入案有使用到Web應用程式,37%的侵入案偷走或使用了憑證,27%的惡意軟體事件是勒索軟體,22%的侵入案涉及網絡釣魚。
從Verizon的統計數據也可觀察出,職業網軍在所有資安事件中的占比雖不高,但在成功侵入案的占比就相對高,可見其志在必得的攻擊策略。各種各樣的操作錯誤在資安事件的占比雖不高,但在成功侵入案的占比很高,可知人為操作不當常是攻擊者成功竊取資料的管道。Web Applications也是同樣狀態,是成功侵入案中,占比最高的攻擊方式。另Denial of Service雖名列所有資安事件中最常見,但因此攻擊手法的重點在阻擾運作,非盜竊資料,所以在成功侵入盜竊資料的案件中,排名墊底,通常不會造成受害者數據資料的損失。
5.2 每次資料外洩為各行業帶來之平均損失
Ponemon Institute調查針對13國超過500家公司做統計,平均每條資料漏失的損失為150美元,平均每次被偷資料的量達25,575條,2020年全球每次資料外洩平均造成386萬美元的損失,在美國地區造成的損失則高達864萬美元,第二高的地區在中東,達652萬美元。發現並遏止資料被偷平均要279天,若以行業別來看,平均損失最高的行業是Healthcare,達710萬美元,每次資料外洩為各行業帶來之平均損失如下表:
表8 每次資料外洩為各行業帶來之平均損失
| 行業別 | 2020年 | 2015年 |
| Healthcare | $7.1M | $8.6M |
| Energy | $6.4M | $3.1M |
| Financial | $5.9M | $5.1M |
| Pharmaceuticals | $5.1M | $5.2M |
| Technology | $5.0M | $3.0M |
| Industrial | $5.0M | $3.7M |
| Services | $4.2M | $3.3M |
| Entertainment | $4.1M | – |
| Education | $3.9M | $7.1M |
| Transportation | $3.6M | $2.9M |
| Communication | $3.0M | $4.3M |
| Consumer | $2.6M | $3.2M |
| Retail | $2.0M | $3.9M |
| Hospitality | $1.7M | $3.1M |
| Media | $1.7M | $3.0M |
| Research | $1.5M | $3.0M |
| Public | $1.1M | $1.6M |
資料來源:Ponemon Institute, IBM, DIGTALGUARDIAN
比較表8在2020和2015年之數據,還可觀察出Energy、Technology、Industrial、Services、Financial是幾個平均損失增加的行業,對於資安需求的感知也會更強烈。
受訪者表示,資安事件響應測試、紅隊測試、威脅情報共享和數據丟失防護已被證明是降低損失的成功因素。而滿足合規性方面的草率、缺乏合格的網絡安全人員以及過於複雜的資安系統被證明是造成損失增加的因素。
報告根據統計資訊發現,擁有一個資安事件響應團隊和一個響應計畫可以在節省組織資金方面大有幫助,同時實施這兩項措施可以為組織節省200萬美元。部署資安自動化技術也可以提供幫助,沒有資安自動化的組織的損失高出358萬美元。另有70%的受訪者表示,讓人員遠距工作會增加資料外洩的成本,也有76%的受訪者表示,遠距工作將使身份識別和資料外洩的時間更長。
5.3 建立有效防禦的障礙
CyberEdge請受訪者以1至5分進行評分,5分表示建立有效防禦的障礙最高,統計結果如表9,其中,「員工的安全意識低下」與「缺乏技術的人員」是長期處於高位的障礙,資安解決方案之間的整合與操作性差排名第三。實務上,從員工離開位子是否記得關上電腦、認為實體隔離就能百分百避免駭客入侵等,都是安全意識不足的行為展現,且隨著道高一尺,魔高一丈,各組織投入資安防禦的資金持續擴大,無論是在人員防禦技術能力的成長,還是在有限的資源內,將採購的各式資安解方整合出最大防禦效果,尤其越來越多的資料量使得儲存和分析也愈來愈難,這些都是現階段會面臨到的主要障礙與挑戰。
表9 建立有效防禦的障礙
| 障礙來源 | 2021年 |
| Low security awareness among employees | 3.73 |
| Lack of skilled personnel | 3.70 |
| Poor integration/interoperability between security solutions | 3.69 |
| Too much data to analyze | 3.66 |
| Poor / insufficient automation of threat detection and response processes | 3.66 |
| Lack of management support / awareness | 3.63 |
| Lack of contextual information from security tools | 3.61 |
| Too many false positives | 3.61 |
| Lack of effective solutions available in the market | 3.61 |
| Lack of budget | 3.58 |
資料來源:CyberEdge
5.4 IT Security技能短缺狀態
CyberEdge統計全球受訪組織中,回答缺少熟練的IT資安人員之組織占比,從2018至2021年依序為80.9%→84.2%→84.8%→87.0%,呈現逐年攀升的趨勢,尤以電信與科技產業最缺,不同職務人員之網絡安全技能短缺如表10所示;iThome另統計我國各產業有資安職缺的企業比例,其中比例最高的產業為金融業,占40%,其次為醫療產業的33.3%,之後依序為服務業22.4%、高科技製造業20.9、政府機關學校20.7%與一般製造業15.1%。
全球資安相關職缺數估計達350萬筆,其中200萬筆來自亞太區域,40萬筆來自歐洲,資安最大市場美國雇用相關人力71萬5千人,目前有31萬4千筆職缺,凸顯人才的缺乏。
表10 不同職務人員之網絡安全技能短缺狀態
| 職務別 | 2021年 | 2020年 |
| IT security administrator | 40.4% | 33.3% |
| IT security analyst / operator / incident responder | 35.0% | 31.1% |
| IT security architect / engineer | 32.6% | 34.0% |
| IT security / compliance auditor | 29.8% | 29.6% |
| Application security tester | 26.4% | 25.6% |
| Risk / fraud analyst | 25.9% | 31.8% |
| DevSecOps engineer | 25.7% | 24.3% |
資料來源:CyberEdge
5.5 Network Security技術以及使用與採購規劃
表11所列之11種網路安全技術以及使用與採購規劃,可觀察出Advanced malware analysis / sandboxing已被大量採用,加上規劃採購者,成為目前最普遍使用的技術,Next-generation firewall (NGFW)則是規劃採購的比率最高,有望成為快速成長的技術,每個技術的使用與採購,都意味著龐大的商機,有意進入資安市場的企業或新創,更需仔細留意相關技術與需求之變化。
表11網絡安全技術與市場需求
| 網絡安全技術 | 目前已用 | 規劃採購 | 沒計畫 |
| Advanced malware analysis / sandboxing | 58.9% | 32.8% | 8.3% |
| Data loss / leak prevention (DLP) | 53.5% | 35.8% | 10.8% |
| Secure email gateway (SEG) | 53.3% | 33.6% | 13.1% |
| Intrusion detection / prevention system (IDS / IPS) | 51.8% | 35.9% | 12.3% |
| Network access control (NAC) | 51.4% | 36.4% | 12.2% |
| SSL / TLS decryption appliances / platform | 51.3% | 35.3% | 13.4% |
| Secure web gateway (SWG) | 51.2% | 36.5% | 12.3% |
| Denial of service (DoS / DDoS) prevention | 50.0% | 38.6% | 11.4% |
| Network behavior analysis (NBA) / NetFlow analysis | 48.0% | 36.5% | 15.5% |
| Next-generation firewall (NGFW) | 46.7% | 40.3% | 13.0% |
| Deception technology / distributed honeypots | 43.3% | 37.2% | 19.6% |
資料來源:CyberEdge
本期產業情報探究網際網絡與資安的發展脈絡、介紹全球資安市場的涵蓋範圍,釐清資安需求的整體樣貌。藉以點出資安造成的企業損失與投資之間不成比例,凸顯資安是深具未來發展潛力的產業。下一期,將持續為您探索未來的商機、疫情影響以及新創投資與資安政策,並進一步聚焦分析臺灣的資安產業。
.參考資料
- “Ransomeware Payments Decline in Q4 2020,” Coveware, 2021.
- “State of Malware report 2021,” Malwarebytes, 2021.
- “What Does a Data Breach Cost in 2020?” DIGTALGUARDIAN, 2020.
- “2020 Data Breach Investigations Report,” Verizon, 2020.
- “2020 Cost of a Data Breach Report,” Ponemon Institute’s IBM Security, 2020.
- “2021 Cyberthreat Defense Report,” CyberEdge Group, 2021.
- “【iThome 2020 資安大調查】2020年資安人力多搶手? ” iThome, 2020.
- “【iThome 2020 資安大調查】企業2019資安災情多嚴峻?多快復原?” iThome, 2020.