終極指南：什麼是網路風險(Cyber Risk)？

本終極指南深入探討網路風險，內容包括：

點擊以下連結快速瀏覽

網路風險的定義

網路風險是指因網路威脅(Cyber Threats)或網路與數位系統中的漏洞，導致網路攻擊(Cyber Attack)或資料外洩（例如，資料外洩(Data Breach)或意外遺失）而造成損失的可能性。網路風險包括潛在後果，以及網路攻擊成功的可能性。網路風險管理涉及組織的 IT 與資安團隊，以及非技術領域的部門，例如財務與供應鏈(Supply Chain)團隊。

網路風險的關鍵組成要素

網路風險的關鍵組成要素是威脅的一部分，包括以下內容。

能力

能力包括網路犯罪者將網路風險轉化為成功攻擊的技能、資源與技術。

可能性

在評估網路風險之後，會判斷其發生的可能性。這種可能性有助於在其他網路安全(Cybersecurity)任務的脈絡中，對網路風險進行分類與優先排序。

動機

瞭解網路攻擊背後的驅動因素，有助於評估其發生的可能性，並識別潛在目標。如上所述，網路犯罪者的動機各不相同。

機會

是否有存取潛力，往往決定是否存在可利用的機會。網路犯罪者是否具備或可能取得系統存取權限，有助於判斷網路風險的嚴重程度。系統中的漏洞也為攻擊者提供可乘之機。

利用網路風險的威脅行為者

在評估網路風險的影響時，瞭解威脅背後的發動者，有助於判斷若攻擊得逞可能造成的後果。以下是幾種常見的攻擊者類型及其動機。

• 競爭對手－進行非法活動，以竊取商業機密或其他敏感的公司資訊。
• 網路犯罪者－主要受到金錢利益驅使，並運用各種手段竊取敏感資料或其他有價值的資產。
• 駭客行動主義者－出於政治或社會原因，企圖破壞特定組織的運作。
• 國家行為者－以敏感的政府資料或關鍵基礎設施為攻擊目標。

網路風險暴露通常與網路犯罪者與網路攻擊有關，但也可能是意外造成的。舉例來說，員工可能因不小心將電子郵件寄給錯誤的收件人而洩露敏感資料。IT 方面的問題，例如系統未修補、開放的連接埠、設定錯誤，或第三方軟體或系統中的漏洞，也可能導致風險暴露。

常見的網路風險來源及其影響

網路風險種類繁多，有些是普遍存在的，有些則針對特定產業或使用者類型。以下是幾種常見的網路風險。瞭解這些風險有助於識別更細微的網路風險。

API 漏洞

廣泛使用應用程式介面 (application programming interface, API) 連接應用程式與系統，會帶來網路風險。造成網路風險的幾個主要 API 漏洞包括：物件層級授權失效、使用者授權不足、注入式攻擊、資料過度暴露、缺乏速率限制，以及不安全的直接物件參照 (insecure direct object reference, IDOR)。這些問題再加上不安全的程式撰寫習慣，使 API 成為一項重大的網路風險來源。

雲端漏洞

雲端運算環境中的漏洞會產生網路風險，讓網路攻擊者得以利用這些風險進行未經授權的存取、中斷服務並竊取資料。與雲端環境相關的最常見網路風險包括人為錯誤與設定錯誤。

法規遵循缺失

未遵守規章與標準中規定的安全要求，不僅會使組織面臨罰則風險，還會留下安全漏洞。這些規範所附帶的安全措施，反映了針對已知攻擊向量(Attack Vector)所制定的最佳實務。與法規遵循缺失相關的網路風險包括惡意軟體(Malware)與勒索軟體(Ransomware)攻擊、網路釣魚(Phishing)攻擊與分散式阻斷服務(DDoS) 攻擊。

存取管理不彰

許多網路風險與存取管理不彰有關。最常見的存取管理問題包括：授予使用者未經授權的資料存取權、允許從未經授權的網際網路通訊協定 (internet protocol, IP) 位址登入、缺乏對使用者存取權限的可視性，以及存取原則定義不明確。

內部人員威脅

內部人員威脅是一種嚴重的網路風險，因其來自擁有授權存取權限的內部使用者。這類威脅通常與惡意活動有關，例如心懷不滿的員工破壞系統、外洩資料，或被外部網路犯罪者欺騙或脅迫，代為執行不法行為。另一些情況則是內部人員單純犯錯，例如不小心分享敏感資訊，或遺失設備而導致資料遭到入侵。

資料安全不足

資料安全漏洞可能以多種方式發生。若未對靜態資料或傳輸中的敏感資料進行加密，當資料遭攔截或網路犯罪者取得資料儲存位置的存取權限時，就可能導致未授權存取。另一項資料安全問題是資料外洩，指敏感資料被非法擷取並傳送至外部。

缺乏可視性

由於組織使用許多分散式應用程式與系統（通常透過雲端），IT 與資安團隊往往難以取得全面性的可視性。這導致出現許多難以察覺的漏洞，因為 IT 與資安團隊難以有效識別、理解背景、排序優先順序並加以緩解，原因在於他們無法全面監控這些工具。

設定錯誤

程式碼中的漏洞與設定錯誤，尤其是在基礎架構即程式碼 (infrastructure as code, IaC) 中，會加劇應用程式與系統的網路風險。這些錯誤常見於容器、虛擬機器以及無伺服器環境中，而 IT 與資安團隊往往難以察覺與管理這些問題。

身分與存取管理不善

許多網路風險源自於身分與存取管理(IAM , Identity and Access Management)原則及執行方面的不彰。導致網路風險的存取管理問題包括：缺乏對身分與相關存取權限的可視性、驗證機制薄弱、密碼通訊協定不佳、原則設定錯誤，以及缺乏標準化且自動化的身分生命週期管理流程。

影子 IT

由於雲端服務與應用程式易於存取，使用者常在 IT 與資安團隊不知情的情況下自行建立並使用帳戶。對這些帳戶缺乏可視性，會造成安全漏洞，進而引發網路風險。其中最大的網路安全風險是資料遺失，原因包括使用者在未妥善保護的情況下儲存敏感資訊，或將敏感資料分享給未授權的對象。

第三方供應商風險

第三方與第四方供應商要對重大的網路風險負責，因為他們通常可以存取敏感資料與系統，但可能未具備足夠的安全防護能力來妥善保護這些資源。

網路風險被利用的真實案例

以下真實案例說明威脅行為者如何利用網路風險。這些案例提供的背景資訊，有助於識別並最佳化補救措施與防禦策略。

勒索軟體

2021 年 5 月的 Colonial Pipeline 勒索軟體攻擊事件，是透過一個遭到入侵且缺乏多因子驗證 (multi-factor authentication, MFA) 的虛擬私人網路 (virtual private network, VPN) 帳戶進行的。攻擊者透過這個易受攻擊的帳戶取得初步存取權，接著又藉由缺乏網路分段的弱點，進一步滲透並擴散至 Colonial Pipeline 的系統，加密資料，並要求支付贖金以恢復存取權限。

網路釣魚

2013 年的 Target 資料外洩事件涉及利用多項網路風險。攻擊者首先透過對第三方供應商發動釣魚攻擊，取得登入認證。由於缺乏網路分段，攻擊者得以在內部網路中橫向移動，進而存取銷售點 (point-of-sale, POS) 系統。他們成功在 POS 裝置上安裝惡意軟體，即時蒐集並外洩交易中的信用卡資料。

雲端設定錯誤與存取管理不善

2019 年的 Capital One 資料外洩事件，是由雲端基礎架構設定錯誤與 Amazon Web Services (AWS) 環境中存取控管不足所共同導致。這些錯誤使攻擊者得以執行伺服器端請求偽造 (server-side request forgery, SSRF) 攻擊，並取得高權限帳號的認證。遭入侵的 AWS 環境中也存在權限設定錯誤，導致存取範圍遠超所需。此外，Capital One 的雲端儲存空間中包含大量個人資訊，包括(美國)社會安全號碼、地址、信用評分與銀行帳戶資料，且這些資料未經加密。

API 漏洞利用

在 Facebook–劍橋分析資料醜聞中，劍橋分析公司利用 Facebook API 基礎架構中的漏洞，未經使用者同意，蒐集多達 8,700 萬名使用者的資料。這項漏洞之所以能被利用，是因為 API 的資料存取權限過於寬鬆，使得攻擊者不僅能存取直接使用者的個人資料，還能存取其 Facebook 好友的資訊。Facebook 缺乏精細的存取控管，以及對第三方開發者的監控不足，使劍橋分析得以大量蒐集資料，並用於精準的政治廣告投放，最終導致 Facebook 被處以鉅額罰款。

內部人員威脅

一個廣為人知的內部威脅案例是 Edward Snowden 於 2013 年洩露美國國家安全局 (NSA) 機密資訊的事件。Snowden 當時是 NSA 的外包承包商，利用其授權存取權限蒐集並竊取高度敏感的文件。此案例中遭利用的多項網路風險包括：過度允許的特殊存取權限，以及監控不足。

供應鏈攻擊

2020 年，攻擊者入侵了 SolarWinds 的軟體更新系統，將惡意軟體植入其平台的更新檔中。這些遭感染的更新被分發給客戶，包括私人企業與美國政府機構在內。由於許多安裝了受感染軟體的組織缺乏網路分段，攻擊者得以利用 Microsoft Office 365 的漏洞，透過互連的系統存取更多雲端資產。此外，由於缺乏完善的偵測機制，這些入侵行動長時間都未被發現，部分原因是攻擊模仿了合法流量。

IoT 殭屍網路 DDoS 攻擊

2016 年的 Mirai 殭屍網路攻擊，利用了與物聯網 (Internet of Things, IoT) 裝置相關的幾個關鍵網路風險。這次攻擊使用硬編碼的常用認證清單，以暴力破解的方式存取 IoT 裝置，目標是開放 Tenet 與安全殼層 (Secure Shell, SSH) 連接埠的裝置。該殭屍網路被用來在全球發動大規模 DDoS 攻擊。

網路威脅對企業的影響後果

由於網路風險影響深遠，通常被認為對組織至關重要。網路風險一旦遭利用，可能造成資料遺失、財務損失、營運中斷、生產力下降、聲譽受損。

網路風險的範圍之廣也使其成為一個重要議題。網路風險向量包括惡意活動，例如勒索軟體與其他惡意軟體等，以及不完善的法規遵循管理造成的漏洞，這些漏洞可能導致法律訴訟與罰款。

網路風險與網路安全挑戰

網路風險持續變得更加複雜，難以應對。遠距工作與雲端系統的興起，企業的攻擊面(Attack Surface)呈指數型擴大，使其暴露於更高的網路風險之中。

攻擊者非常擅長尋找並利用漏洞。端點裝置、行動裝置與 IoT 裝置常被視為組織安全中的薄弱一環，因此成為攻擊目標，並被用作存取資料與其他資源的途徑。在某些情況下，雲端協作平台也被用來發動社交工程(Social Engineering)攻擊，以規避用於保護電子郵件系統的惡意軟體與網路釣魚防護系統。

自滿也是助長網路威脅效力的因素之一。當組織履行了法規遵循義務時，許多人誤以為這就足以讓他們免受網路攻擊的侵害。但事實並非如此。雖然法規遵循要求提升組織的整體安全態勢，但網路風險依然存在，組織必須保持警覺。

儘管組織已大力強化安全系統，但仍面臨以下網路安全挑戰：

• 5G 網路－遭入侵以存取裝置上蒐集與儲存的資料
• 生成式人工智慧 AI－用於建立高度針對性的攻擊活動，包括網路釣魚與深度偽造，以入侵帳戶並獲得未經授權的存取權限
• 行動惡意軟體－旨在利用行動裝置及其通訊協定（例如 Wi-Fi 與藍牙）的固有漏洞
• 勒索軟體攻擊－針對關鍵業務領域

降低網路風險

降低網路風險的三種高效方法，是實施網路安全措施、制定事件應變計畫，以及定期進行安全意識培訓。

網路安全漏洞緩解措施

• 資產整理與盤點
• 減少攻擊面(Attack Surface)
• 設定監控與管理
• 持續監控
• 網路風險評估
• 端點防護系統
• 安全控制措施（例如，技術控制、實體存取控制、程序控制與網路存取控制）
• 安全性修補程式與軟體更新管理
• 威脅偵測系統
• 漏洞評估

事件應變與危機管理

制定詳細的事件應變計畫，其內容包括：

• 概述事件發生時應立即採取的行動措施
• 建立通訊協定以通知利害關係人
• 定義系統恢復流程
• 測試並支援事件應變計畫的更新
• 記取以往事件的經驗教訓

網路安全意識與預防

定期進行網路安全訓練在降低網路風險方面發揮關鍵作用。這些訓練應幫助員工瞭解：

• 常見的攻擊形式
• 識別網路釣魚企圖與其他社交工程手段的方法
• 強式密碼的重要性
• 安全原則與通訊協定

網路風險管理的最佳實務與實用指引

採用基於風險的漏洞管理方法，來管理、緩解與修補網路風險。

• 關閉所有未使用的帳戶。
• 識別並盤點所有數位資產，並保持資產清單即時更新。
• 識別敏感系統，並評估若這些系統遭受損害或其他形式的入侵，其營運可能遭受損失或中斷的潛在影響。
• 監控存取權限並進行調整，以確保僅授予執行任務所需的最低存取權限。
• 當使用者不再是組織成員時，終止其帳戶
• 運用機器學習技術(ML , Machine Learning)與預測優先排序分析工具，來識別漏洞並評估其潛在影響。

什麼是網路風險評估？

組織使用網路風險評估，來主動識別並評估可能危及其資料、系統或營運的潛在威脅。網路風險評估檢視漏洞、威脅情勢，與現有安全控制措施的有效性，以估計潛在網路事件發生的可能性與影響程度。透過進行網路風險評估，組織能更有效地釐清風險優先順序，並根據自身的風險承受能力，制定相應的風險緩解、轉移或接受策略。

除了可能性與影響程度之外，進行風險評估時還需要考量以下幾個方面：

• 資產識別，對關鍵資產進行分類，例如可能面臨風險的資料、系統、軟體與硬體
• 威脅識別，洞察可能利用漏洞的潛在內部與外部威脅，例如惡意軟體、網路釣魚、勒索軟體，以及內部人員威脅
• 漏洞評估，分析攻擊者可能利用的系統、軟體、流程或策略中現有的漏洞
• 對現有安全控制與防禦措施（例如防火牆、加密與存取控制）的有效性進行現行控制評估

計算網路風險的簡單公式為：

威脅的潛在金錢與營運影響 + 被利用的可能性 = 網路風險

衡量網路風險時，還應考量以下時間相關事項：

• 識別風險
• 評估風險
• 針對風險的應變措施進行優先排序
• 修復已識別的風險

保護企業免受不斷演變的網路風險侵害

主動防禦是保護企業免受不斷演變的網路風險影響的最佳方法。IT 與資安團隊需要掌握安全解決方案的最新趨勢以及威脅情勢。不幸的是，隨著安全技術的進步，網路犯罪者也持續進化其攻擊向量，以規避新的安全措施。

不斷演變的威脅情勢

網路攻擊趨勢反映出不斷演變的威脅環境。以下是幾項組織在管理與降低網路風險時應特別留意的關鍵威脅。

• 採用 AI (Artificial Intelligence , 人工智慧) 與 ML (Machine Learning , 機器學習) 的攻擊
• 基於新一代 AI 的針對性網路釣魚(Phishing)攻擊
• IoT (Internet of Things , 物聯網) 與行動裝置漏洞
• 超級攻擊
• 量子運算威脅
• 勒索軟體(Ransomware)
• 安全技能落差與人員配置問題
• 供應鏈攻擊
• 第三方供應商漏洞
• 零時差攻擊

用於持續降低網路風險的先進技術與最佳實務

AI 是最先進的網路風險管理與緩解解決方案及實踐的核心。它使組織能夠利用機器的強大運算力，以人類無法企及的方式更快地處理訊息，進而應對日益複雜的威脅情況。

AI 工具可以收集、整合並關聯威脅情報，以即時識別與回應網路攻擊。AI 也能自動化應對新型與新興攻擊，協助迅速降低風險。

支援網路風險管理的資源

以下是幾項可用於強化網路風險管理工作的資源。若與風險緩解策略及最佳實務搭配使用，這些資源可以降低組織面臨的網路風險。

網路風險管理架構與標準

市面上有許多免費提供的網路風險架構與標準，廣泛用於指導網路風險策略與計畫。這些網路風險架構與標準旨在滿足各種需求，其中一些則專為支援特定類型的組織而設計。通常會同時採用多種架構與標準。

用於支援網路風險措施的架構與標準範例包括：

• NIST SP 800-53 為聯邦資訊系統與組織提供詳細的安全與隱私控制（例如存取控制、事件回應與設定管理），但也被其他組織廣泛使用
• 國家標準暨技術研究院 (NIST) 網路安全架構(Cybersecurity Framework, CSF) 提供更全面的架構，協助組織識別、保護、偵測、回應並從網路威脅中復原，同時提升對不斷演變的網路風險的韌性
• ISO 27001 ISO/IEC 27001 提供一套系統性的方法，來保護敏感資料並降低機密性、完整性與可用性遭到破壞的風險
• 網際網路安全中心 (Center for Internet Security, CIS) 控制措施是一套最佳實務，專注於資產管理、存取控制與事件回應，以降低網路風險，協助組織釐清資安與風險管理工作的優先順序，並符合產業標準
• 國際電腦稽核協會 (ISACA , Information Systems Audit and Control Association) 風險 IT 架構提供一套全面的方法，用於管理與 IT 相關的風險，將 IT 風險管理與企業目標相結合，並著重於在整個組織中識別、評估與緩解風險
• MITRE ATT&CK 架構提供一套全面的知識庫，涵蓋攻擊者所使用的戰術、技術與程序 (TTP)，透過識別漏洞並瞭解攻擊者如何利用這些漏洞，以協助組織有效評估並緩解網路風險

風險評估與管理工具

目前有許多工具可用於支援網路風險管理工作，包括評估工具與自動化網路風險監控系統。目前可用的工具包括：

• 雲端安全性與風險評估工具，用於評估雲端環境中的錯誤設定、漏洞與法規遵循風險
• 治理、風險與法遵規範 (GRC , Governance Risk and Compliance) 工具，可協助團隊透過將安全性、法遵規範與治理與業務目標結合，來管理網路風險，並追蹤法規遵循情況、管理網路風險原則，以及執行持續監控。
• 身分與存取風險管理工具可用於管理橫跨各系統的使用者存取權限相關風險，並強制執行最小權限(PoLP , Principle of least privilege)存取原則，同時監控與身分相關的威脅
• 定量風險評估工具使用模型評估風險的財務影響，並指派機率與貨幣價值
• 定性風險評估工具著重於使用可能性對風險進行主觀評估
• 第三方與供應鏈風險管理工具，用於評估並監控廠商、合作夥伴與供應商帶來的風險

威脅情報平台

有多種工具可用於洞察影響公共與私人組織的最新威脅與漏洞。威脅情報的主要類別包括策略、戰術、技術、營運與產業特定，可滿足組織的不同需求。

• 策略性威脅情報提供著重於長期趨勢與地緣政治風險的高階情報，主要供高階主管與決策者用於策略規劃與安全投資決策
• 戰術性威脅情報關注威脅行為者使用的工具、技術與程序 (TTP)，資安團隊利用這些情報來識別特定攻擊模式（例如網路釣魚或惡意軟體活動）來改善事件偵測與回應能力
• 營運威脅情報提供即時或近即時的情報，針對特定產業與地區所發生的攻擊或行動，以幫助安全營運中心 (security operations center, SOC) 主動監控並防禦目前威脅
• 技術性威脅情報提供攻擊中使用的技術詳細資訊，例如 IP 位址、惡意軟體雜湊值與入侵指標 (indicators of compromise, IOC)，以便與安全工具整合，主動阻擋惡意活動
• 產業特定威脅情報是針對影響特定產業的威脅而量身打造的情報，旨在幫助組織解決獨特的漏洞與監管要求

事件應變手冊

事件應變手冊提供詳細的、預先定義的指引，用於在安全事件期間管理與緩解網路風險。這些手冊包含逐步操作說明，協助偵測、遏止、清除並從網路攻擊中復原。針對不同類型的網路風險，常見的事件應變手冊類型包括以下幾種。

• 資料外洩應變手冊詳細說明調查與緩解資料外洩(Data Breach)的流程，其中包括依據法律與規章要求進行通報的相關指引
• 分散式阻斷服務 (Distributed Denial-of-Service, DDoS) 應變手冊用於指導在 DDoS 攻擊造成系統流量超載後的復原工作
• 內部威脅事件應變手冊有助於偵測並處理由擁有授權存取權限的使用者所引發的事件，內容包括監控可疑行為、撤銷存取權限，以及進行內部調查的相關步驟
• 惡意軟體事件應變手冊專注於處理如病毒、勒索軟體與木馬等感染情況，並提供指引，說明如何隔離受感染裝置、識別惡意軟體來源，以及從備份中恢復系統
• 網路釣魚事件應變手冊提供處理網路釣魚電子郵件、魚叉式網路釣魚攻擊及電子郵件帳戶入侵的步驟，並協助員工識別惡意電子郵件，以及管理員撤銷被入侵的存取權限並封鎖相關網域與 IP
• 勒索軟體事件應變手冊提供迅速應對勒索軟體攻擊的指引，包括遏止、通訊協定、以及從備份中恢復，以及是否進行協商、支付贖金或採取法律行動等考量因素

網路風險保單

網路風險保險透過風險轉移降低組織所面臨的風險。保單有助分擔與網路事件相關的各項成本，例如因資料毀損、駭客入侵、資料勒索或資料竊取所造成的損失。

網路風險保險承保範圍分為第一方與第三方兩種。第一方網路風險保險承保受保險組織所產生的成本。第三方網路風險保險承保與第三方（例如客戶或廠商）所遭受的損害或損失相關的費用。

選擇網路風險保單時，一般承保範圍的考慮因素包括：

• 資料外洩調查服務（例如，數位鑑識專家）
• 溝通支援（例如，公共關係或危機溝通專家）
• 影響系統的網路攻擊
• 資料外洩(Data Breach)
• 傳送客戶通知
• 針對廠商與服務提供者儲存資料的攻擊
• 向受影響客戶的財務補償
• 協助處理通知事宜及其他監管要求的法律顧問
• 因訴訟或監管調查的法律費用
• 遺失或被盜資料的復原與替換
• 與網路事件相關的處罰或罰款
• 贖金
• 因營運中斷造成的收入損失補償
• 與調解或訴訟相關的與解

網路風險意識：預防的關鍵

網路風險存在於組織的各個層面。雖然大多數網路風險與 IT 相關，但讓整個組織都意識到這項挑戰及其潛在影響至關重要。讓整個組織的使用者參與有助於降低網路風險，並打造安全文化，這是漏洞緩解與主動安全態勢的核心。