【2024年 1 月 31日,台北】OneDegree Global發布2024臺灣保險業資安曝險調查報告,比較2021年底對30家壽產險業者的外在資安曝險情形評級與分析,並追蹤報導同30家業者,以評估其在兩年內是否改善並提升資安態勢。主要目標是協助業者了解產業普遍攻擊風險,迅速減少攻擊面並提升駭客攻擊難度。其中8成業者使用之SaaS平台發生帳號密碼外洩,凸顯影子IT問題,易被駭客拿來做為社交工程攻擊的工具。
金融保險業這兩年所面臨首要的資安風險,屬駭客攻擊與社交工程手段為主;同時,隨著國內金管會鬆綁金融上雲規範,雲端供應商間接成為潛在跳板攻擊。生成式AI的興起更引起了企業對社交工程威脅的擔憂,金融業尤其關切ChatGPT可能被濫用成為輔助攻擊工具。這進一步提醒金融業者,生成式AI能夠自動化和定制社交工程手段,因此,金融安全主管在未來一年內加強了對社交工程手段的警戒態度,進而提高了相關風險的評估。
OneDegree Global旗下資安品牌Cymetrics商務開發總監,Eric Fang表示,金融業是資訊防護領域扎根最深的產業,然而這次調查發現8成業者使用之SaaS平台發生帳號密碼外洩,也反映到影子IT現象所導致的結果,最常使用並造成帳密外洩的SaaS軟體,如Adobe、Canva、Dropbox及LinkedIn等等。OneDegree Global希望透過本次的資安曝險調查報告,協助臺灣保險業者持續監控企業的網路曝險和系統弱點,提高資安風險管理能力。這不僅能提供客戶更好的服務體驗,還能保護品牌信譽,提升品牌價值。
本次資安曝險調查針對五大常見外部曝險面進行分析,重點結果包含:
- 網路服務:臺灣保險業者的表現優異,全部的保險業者針對對外服務皆有進行控管,資安評級平均落在A~A+的等級,跟2021年的資安評級平均落在A相較之下,可以看出業者在這兩年當中更加留意對外服務的權限管控,也就是從外部的角度收集不到資料,很難針對業者的對外服務進行資料收集及攻擊嘗試。
- 網站:臺灣保險業者資安評級平均落在A-~C,有13%的業者落在A-,87%的業者則落在B~C中間,也就是有攻擊突破面上的短板產生,可能因此成為攻擊者攻擊鏈的一環,跟2021的資安評級平均落在B~B-相較之下大幅降低,而評級降低的原因主要在於業者網站的防禦設定上有五項安全設置錯誤比例偏高,推測因其大多為預設的緣故,導致容易被忽略。
- 電子郵件:臺灣保險業者資安評級平均落在A+~C-,跟2021的資安評級平均B-~C相較之下,42%的業者落在A以上,大幅改善電子郵件相關設置,而58%的業者仍維持在B-~C,主要在於其業者大多忽略DMARC以及SPF設置,導致郵件系統安全出現短板,使業者因此容易成為攻擊者鎖定執行社交工程攻擊的標的。
- 帳號密碼:為此次調查中與2021年的調查差異最大的測項,臺灣保險業者資安評級平均落在C,有80%的業者評級落在C,而2021的資安評級則是平均落在A,只有20%的業者評級落在C。這也與近年來生成式AI的快速發展有關,ChatGPT除了讓企業員工能夠在工作上更有效率,也被駭客拿來做為社交工程攻擊的工具,進而讓員工帳密更容易流出至暗網當中。
- 雲端安全:臺灣保險業者評級分數皆為A+以上,與2021年的資安評級一致。本調查並未發現保險業者在其網域名稱下有任何對外公開之雲端儲存體或公共程式庫,然而OneDegree Global預期在數位轉型驅動下,有越來越多企業會逐步採納公有雲服務,因此將持續關注並擴充雲端安全的曝險測試項目。
