企業資安風險不只來自駭客攻擊或勒索病毒,更可能是難以察覺的威脅,如網路釣魚、社交工程、Deepfake 偽訊息,以及老舊系統漏洞。這些風險雖不一定立即發生,但一旦出現,可能導致資料外洩、業務中斷,甚至損及企業聲譽,因此成為資安策略與防護的核心焦點。
目錄
➤企業面臨的資安威脅與挑戰
➤企業憂心的資安風險排名
➤企業為何對這些風險特別擔心?
➤企業如何因應這些資安挑戰?
企業面臨的資安威脅與挑戰
說到企業資安風險,大多人第一個想到的是駭客攻擊或勒索病毒,但實際上令資安人員擔心的,其實是不易察覺的威脅,例如網路釣魚、社教工程 和 Deepfake(深度偽造)等技術帶來的假訊息風險。這些風險雖然未必立即或經常性的發生,但一旦發生異常,則可能導致資料外洩、業務中斷,甚至損及企業聲譽。
除了外部威脅,企業在推動資安管理時,也面臨著許多內部的挑戰。
根據《iThome 2025企業資安大調查》內文中指出,「老舊資訊系統更新」是 2025 年資安人員最擔心的議題。在過去,老舊資訊系統更新一直是名列前茅的挑戰之一,尤其是服務業、一般製造業、政府和學校都視為首要的挑戰,而高科技製造業、醫療業則將其視為第三大挑戰。
造成「老舊資訊系統更新」成為挑戰的原因,通常是非技術性的,而是商業、成本、風險與人才考量所致。例如,系統具有不可替代性,升級失敗可能影響業務;遷移成本龐大,缺乏專業人才支援;或因投資回報率不明確,而使決策者對更新產生感知偏差。這些因素交織在一起,使得企業在資安治理中,除了應對外部威脅,也必須解決內部管理與策略上的困難。
除了老舊系統更新之外,企業內部受到的挑戰還包括:資安意識培育、應變能力準備、技術能力提升、資安治理確保、掌握威脅進化、公司高層支持、人力不足因應和資安文化建立。
企業憂心的資安風險排名
根據《iThome 2025企業資安大調查》表示,在 2025 年的資安調查中,有超過六成企業對「網路釣魚和社交工程」最為警覺,是位居第一的資訊安全風險威脅。
以產業別來看,政府學校最為憂心的首要風險是「DDoS攻擊」,而服務業則是「個人資料外洩」,而從新興風險來說,各家企業對 Deepfake(深度偽造) 有明顯的關注提升。
《iThome 2025 CIO暨資安大調查》 TOP 12 排名如下:
網路釣魚/ 社交工程手段:
非利用技術漏洞,而是針對人類心理弱點進行欺騙和操縱。攻擊者會透過「偽裝」的方式來騙取信任,並要求對方匯款、點擊惡意連結、驗證身分或獲取機密資訊。資安漏洞濫用:
攻擊者發現了軟體、硬體或系統設計中的缺陷和漏洞,並利用來執行非授權操作、獲得全縣或導致系統崩潰的行為。如零時差漏洞攻擊。勒索軟體資安事故:
企業系統或資料被勒索軟體攻擊,導致系統和檔案被加密、鎖定獲竊取,使攻擊者向被害者索要贖金以換取解密。這是一種數位綁架,威脅受害者的資料資產。DDoS 攻擊:
這是一個讓網路服務、網站或伺服器因承受過量的流量,而導致癱瘓或服務中斷,使之無法回應正常用戶的請求。也就是讓企業無法透過線上平台提供服務。瀏覽惡意網站:
這是常見的網路安全威脅,指的是使用者在網路上不小心存取了專門設計用來進行惡意活動、傷害使用者或竊取資料的網站。它可能會模仿高知名度的網站來降低使用者的戒心。商業郵件詐騙(BEC詐騙):
攻擊者透過入侵或假冒企業高階主管或供應商的電子郵件帳戶,向財務或會計人員發出欺騙性的指令,以誘騙他們進行未經授權的電匯轉帳或洩露敏感資訊。目的是誘騙企業將錢匯給攻擊者。個人資料外洩:
個人資料在未經授權的情況下被存取、複製、傳輸、竊取、公開或遺失的安全事件。機敏資料外洩:
指任何被企業或法律認定為極度重要、需嚴格保護,一旦外洩將對組織或個人造成嚴重傷害的資料,在未經授權的情況下被存取、竊取或洩露的安全事件。被植入竊資軟體/ 後門木馬:
這是一種非常常見且危險的網路資安事件,指的是電腦、手機或伺服器被惡意軟體感染,導致攻擊者能夠秘密地竊取隱私資料或遠端控制設備。網路犯罪者攻擊:
有組織或個人出於經濟利益、報復或竊取商業機密等犯罪動機,利用網路和電腦系統對個人、企業或政府發起的任何形式的惡意行為。國家級網路攻擊:
是指由一個國家的政府、情報機構或軍事單位在背後支持、資助和指揮的網路攻擊行動,這類國家級攻擊者通常被稱為 APT 組織。雲端服務(網路服務)資安事件:
資料和應用程式不是位於企業的內部實體機房,而是在雲端或網路上,面臨的安全挑戰可能有資料洩漏、服務中斷、未經授權存取或雲端資源濫用等。
企業為何對這些風險特別擔心?
企業對這些資訊安全風險感到焦慮,不僅是因為這些威脅可能造成直接的經濟損失,更因其影響範圍廣泛且難以預測。
舉例來說,網路釣魚與社交工程主要利用人性弱點,一旦員工不慎受騙,就可能導致敏感資料外洩或財務損失。而老舊系統漏洞雖然不常發生,但一旦被利用,往往會造成業務中斷、系統癱瘓,甚至衝擊企業整體營運與聲譽。此外,像 Deepfake 等新興威脅,也可能被用於假訊息散播或詐騙,增加企業防護的不確定性。
綜合來看,企業焦慮的核心原因在於「風險後果可能嚴重、發生難以預測、影響範圍廣」,因此即便某些事件發生機率不高,也會被列入年度資安策略的優先考量。
企業如何因應這些資安挑戰?
面對廣泛且難以預測的資安風險,企業需要採取「多層次的防護」與「管理策略」。針對網路釣魚、社交工程或新興威脅如 Deepfake,員工教育與演練仍是最有效的防線;同時,對於老舊系統、DDoS 攻擊或資料外洩等風險,企業則可透過技術防護來降低潛在損害。
例如,企業可部署防火牆、DDoS 防護、資料加密與權限控管等技術手段,並結合異常監控與即時防護,確保系統穩定運作。在這方面,SkyCloud騰雲運算 提供了完整的 CDN 加速與 Anti-DDoS 防護服務,協助企業抵禦大量流量攻擊,同時加速線上服務,保障業務不中斷。
整體而言,企業透過「技術防護、制度流程與員工教育」三層策略,企業能有效降低各類資安風險如以下。
技術防護:
包含防火牆、入侵偵測系統、DDoS 防護、資料加密、多重驗證...等措施,目的在於阻擋惡意攻擊、保障系統穩定運作與保護敏感資料安全。透過即時監控與自動防護,能降低各類網路攻擊或資料外洩的風險。制度流程:
建立完整的資安治理架構、異常事件應變計畫,以及權限管理與資料控管,能讓企業在面對資安事件時有明確操作流程,提升反應速度與決策效率,降低因流程不明或責任不清造成的風險。員工教育與演練:
定期進行資安教育、釣魚模擬測試及異常事件演練,並培養資安文化,讓員工了解風險、提高警覺性,降低人為疏失導致的安全事件。這是對抗社交工程與人為失誤的第一道防線。
資料參考來源:【iThome 2025企業資安大調查|企業資安危機】對網釣社交工程的風險意識最強,老舊系統更新躍居年度最大挑戰
'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_372_3728'%20x1='19.2966'%20y1='17.8555'%20x2='4.40396'%20y2='14.991'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2336BCD4'/%3e%3cstop%20offset='1'%20stop-color='%2362E0B9'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
Experience fast, secure, and reliable service.
'/%3e%3cpath%20d='M38.0476%2033.4361C38.563%2033.9451%2039.3985%2033.9451%2039.914%2033.4361C40.4294%2032.927%2040.4294%2032.1018%2039.914%2031.5927L28.4218%2020.2421L16.9296%2031.5927C16.4141%2032.1018%2016.4141%2032.927%2016.9296%2033.4361C17.445%2033.9451%2018.2805%2033.9451%2018.7959%2033.4361L28.4218%2023.9289L38.0476%2033.4361Z'%20fill='%23222222'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_1305_5534'%20x1='53.5'%20y1='53.5'%20x2='-6.00852'%20y2='43.6145'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2336BCD4'/%3e%3cstop%20offset='1'%20stop-color='%2362E0B9'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)