最新資訊

企業資安風險不只來自駭客攻擊或勒索病毒,更可能是難以察覺的威脅,如網路釣魚、社交工程、Deepfake 偽訊息,以及老舊系統漏洞。這些風險雖不一定立即發生,但一旦出現,可能導致資料外洩、業務中斷,甚至損及企業聲譽,因此成為資安策略與防護的核心焦點。

MULTI-CDN
科技新聞

企業資安風險有哪些?調查揭露企業最憂心的威脅與挑戰|Skycloud

企業資安風險有哪些?調查揭露企業最憂心的威脅與挑戰|Skycloud
2025-11-24

企業資安風險不只來自駭客攻擊或勒索病毒,更可能是難以察覺的威脅,如網路釣魚、社交工程、Deepfake 偽訊息,以及老舊系統漏洞。這些風險雖不一定立即發生,但一旦出現,可能導致資料外洩、業務中斷,甚至損及企業聲譽,因此成為資安策略與防護的核心焦點。


目錄

➤企業面臨的資安威脅與挑戰
 ➤企業憂心的資安風險排名
 ➤企業為何對這些風險特別擔心?
 ➤企業如何因應這些資安挑戰?


企業面臨的資安威脅與挑戰


 說到企業資安風險,大多人第一個想到的是駭客攻擊或勒索病毒,但實際上令資安人員擔心的,其實是不易察覺的威脅,例如網路釣魚、社教工程 和 Deepfake(深度偽造)等技術帶來的假訊息風險。這些風險雖然未必立即或經常性的發生,但一旦發生異常,則可能導致資料外洩、業務中斷,甚至損及企業聲譽。

 除了外部威脅,企業在推動資安管理時,也面臨著許多內部的挑戰。

 根據《iThome 2025企業資安大調查》內文中指出,「老舊資訊系統更新」是 2025 年資安人員最擔心的議題。在過去,老舊資訊系統更新一直是名列前茅的挑戰之一,尤其是服務業、一般製造業、政府和學校都視為首要的挑戰,而高科技製造業、醫療業則將其視為第三大挑戰。

 造成「老舊資訊系統更新」成為挑戰的原因,通常是非技術性的,而是商業、成本、風險與人才考量所致。例如,系統具有不可替代性,升級失敗可能影響業務;遷移成本龐大,缺乏專業人才支援;或因投資回報率不明確,而使決策者對更新產生感知偏差。這些因素交織在一起,使得企業在資安治理中,除了應對外部威脅,也必須解決內部管理與策略上的困難。

 除了老舊系統更新之外,企業內部受到的挑戰還包括:資安意識培育、應變能力準備、技術能力提升、資安治理確保、掌握威脅進化、公司高層支持、人力不足因應和資安文化建立。


企業憂心的資安風險排名


 根據《iThome 2025企業資安大調查》表示,在 2025 年的資安調查中,有超過六成企業對「網路釣魚和社交工程」最為警覺,是位居第一的資訊安全風險威脅。

 以產業別來看,政府學校最為憂心的首要風險是「DDoS攻擊」,而服務業則是「個人資料外洩」,而從新興風險來說,各家企業對 Deepfake(深度偽造) 有明顯的關注提升。

《iThome 2025 CIO暨資安大調查》 TOP 12 排名如下:

  1. 網路釣魚/ 社交工程手段:
    非利用技術漏洞,而是針對人類心理弱點進行欺騙和操縱。攻擊者會透過「偽裝」的方式來騙取信任,並要求對方匯款、點擊惡意連結、驗證身分或獲取機密資訊。


  2. 資安漏洞濫用:
    攻擊者發現了軟體、硬體或系統設計中的缺陷和漏洞,並利用來執行非授權操作、獲得全縣或導致系統崩潰的行為。如零時差漏洞攻擊


  3. 勒索軟體資安事故:
    企業系統或資料被勒索軟體攻擊,導致系統和檔案被加密、鎖定獲竊取,使攻擊者向被害者索要贖金以換取解密。這是一種數位綁架,威脅受害者的資料資產。


  4. DDoS 攻擊:
    這是一個讓網路服務、網站或伺服器因承受過量的流量,而導致癱瘓或服務中斷,使之無法回應正常用戶的請求。也就是讓企業無法透過線上平台提供服務。


  5. 瀏覽惡意網站:
    這是常見的網路安全威脅,指的是使用者在網路上不小心存取了專門設計用來進行惡意活動、傷害使用者或竊取資料的網站。它可能會模仿高知名度的網站來降低使用者的戒心。


  6. 商業郵件詐騙(BEC詐騙):
    攻擊者透過入侵或假冒企業高階主管或供應商的電子郵件帳戶,向財務或會計人員發出欺騙性的指令,以誘騙他們進行未經授權的電匯轉帳或洩露敏感資訊。目的是誘騙企業將錢匯給攻擊者。


  7. 個人資料外洩:
    個人資料在未經授權的情況下被存取、複製、傳輸、竊取、公開或遺失的安全事件。


  8. 機敏資料外洩:
    指任何被企業或法律認定為極度重要、需嚴格保護,一旦外洩將對組織或個人造成嚴重傷害的資料,在未經授權的情況下被存取、竊取或洩露的安全事件。


  9. 被植入竊資軟體/ 後門木馬:
    這是一種非常常見且危險的網路資安事件,指的是電腦、手機或伺服器被惡意軟體感染,導致攻擊者能夠秘密地竊取隱私資料或遠端控制設備。


  10. 網路犯罪者攻擊:
    有組織或個人出於經濟利益、報復或竊取商業機密等犯罪動機,利用網路和電腦系統對個人、企業或政府發起的任何形式的惡意行為。


  11. 國家級網路攻擊:
    是指由一個國家的政府、情報機構或軍事單位在背後支持、資助和指揮的網路攻擊行動,這類國家級攻擊者通常被稱為 APT 組織。


  12. 雲端服務(網路服務)資安事件:
    資料和應用程式不是位於企業的內部實體機房,而是在雲端或網路上,面臨的安全挑戰可能有資料洩漏、服務中斷、未經授權存取或雲端資源濫用等。


企業為何對這些風險特別擔心?


 企業對這些資訊安全風險感到焦慮,不僅是因為這些威脅可能造成直接的經濟損失,更因其影響範圍廣泛且難以預測。

 舉例來說,網路釣魚與社交工程主要利用人性弱點,一旦員工不慎受騙,就可能導致敏感資料外洩或財務損失。而老舊系統漏洞雖然不常發生,但一旦被利用,往往會造成業務中斷、系統癱瘓,甚至衝擊企業整體營運與聲譽。此外,像 Deepfake 等新興威脅,也可能被用於假訊息散播或詐騙,增加企業防護的不確定性。

 綜合來看,企業焦慮的核心原因在於「風險後果可能嚴重、發生難以預測、影響範圍廣」,因此即便某些事件發生機率不高,也會被列入年度資安策略的優先考量。


企業如何因應這些資安挑戰?


 面對廣泛且難以預測的資安風險,企業需要採取「多層次的防護」與「管理策略」。針對網路釣魚、社交工程或新興威脅如 Deepfake,員工教育與演練仍是最有效的防線;同時,對於老舊系統、DDoS 攻擊或資料外洩等風險,企業則可透過技術防護來降低潛在損害。

 例如,企業可部署防火牆、DDoS 防護、資料加密與權限控管等技術手段,並結合異常監控與即時防護,確保系統穩定運作。在這方面,SkyCloud騰雲運算 提供了完整的 CDN 加速與 Anti-DDoS 防護服務,協助企業抵禦大量流量攻擊,同時加速線上服務,保障業務不中斷。

 整體而言,企業透過「技術防護、制度流程與員工教育」三層策略,企業能有效降低各類資安風險如以下。

  1. 技術防護:
    包含防火牆、入侵偵測系統、DDoS 防護、資料加密、多重驗證...等措施,目的在於阻擋惡意攻擊、保障系統穩定運作與保護敏感資料安全。透過即時監控與自動防護,能降低各類網路攻擊或資料外洩的風險。


  2. 制度流程:
    建立完整的資安治理架構、異常事件應變計畫,以及權限管理與資料控管,能讓企業在面對資安事件時有明確操作流程,提升反應速度與決策效率,降低因流程不明或責任不清造成的風險。


  3. 員工教育與演練:
    定期進行資安教育、釣魚模擬測試及異常事件演練,並培養資安文化,讓員工了解風險、提高警覺性,降低人為疏失導致的安全事件。這是對抗社交工程與人為失誤的第一道防線。


資料參考來源:【iThome 2025企業資安大調查|企業資安危機】對網釣社交工程的風險意識最強,老舊系統更新躍居年度最大挑戰

返回上頁