資安廠商 Fortinet發布《2023年勒索軟體威脅報告》。結果顯示，勒索軟體對全球供應鏈帶來的威脅持續升級，即使企業認為內部已落實全面性的資安防護，卻仍有高達半數的企業，淪為勒索軟體攻擊的受害者。此外，Fortinet亦發現，多數企業組織在應對勒索軟體威脅時，依舊會以支付贖金來解決攻擊事件，其中製造業在實際付款的比例和遭駭客索取的金額方面，更是在所有產業裡排名最高。

Fortinet台灣區總經理吳章銘表示：「Fortinet最新調查顯示，儘管多數企業都能夠迅速發現駭客惡意活動，卻仍然有相當高比例的企業，曾在2022年遭到勒索軟體攻擊，這意味著企業應部署具備即時檢測與回應能力的解決方案，以強化整體的防禦和應變能力。除了持續提升軟硬體的韌性外，建議企業也必須積極整合內部資源，建立更加全面的威脅事件處理流程，並同步進行資安意識的培訓與認證，避免因風險控管及應對能力不足，而造成重大的商業或經濟損失。」

Fortinet《2023年勒索軟體威脅報告》歸納出的三大重點發現包括：

一、 企業對自身對抗勒索軟體能力過於自信，資安人才與應變措施成防範攻擊最大挑戰

面對日益猖獗的勒索軟體，企業對於現有防護策略的自信程度，與實際得以阻止攻擊發生的能力，存在相當大的差距。將近八成（78%）的企業認為，目前已經為緩解資安事件做足準備，但仍有高達五成的企業曾在2022年受到勒索軟體攻擊，其中更有近半數（46%）的企業遭遇兩次以上的惡意入侵。而企業在對抗勒索軟體的五大挑戰裡，共有四項與人才及應變流程相關，包含員工資安意識與培訓不足、內部缺乏針對勒索軟體攻擊的明確指揮鏈等。

二、多數企業仍願意選擇直接支付駭客贖金，製造業淪為勒索軟體攻擊最大受害者

在勒索軟體帶來資安威脅的同時，受影響的企業也必須被迫面對是否支付贖金的抉擇。Fortinet調查發現，雖然超過七成（72%）的企業在短時間內，即能意識到資安威脅事件發生，但其中仍有近四分之三（71%）的受害組織，會選擇以任意形式交付贖金。此外，製造業也持續成為勒索軟體攻擊的重點目標，駭客的勒索金額不僅在所有產業排名最高，也更容易支付贖金，其中更有四分之一的製造業廠商表示，遭索取的金額達100萬美元（約合新台幣3,000萬元）以上。

三、逾九成企業明年將提升資安預算，人工智慧與機器學習賦能技術躍升優先投資項目

企業對於勒索軟體所導致的資安風險，仍感到高度擔憂，逾九成（91%）的企業表示，明年將增加資安預算，來應對更具侵略性的威脅攻擊。在此同時，企業亦關注可有效防範勒索軟體的解決方案，如安全存取服務邊緣（SASE）、雲端工作負載保護（CWP）、新世代防火牆（NGFW）、端點偵測與回應（EDR）、零信任網路存取（ZTNA）及用於杜絕網路釣魚攻擊的郵件安全閘道器（SEG）等。放眼未來，企業則預計優先投資由人工智慧與機器學習驅動的新興技術，以實現即時的威脅偵測和回應。

最佳首選！Fortinet建議企業採用高度整合的網路安全平台，全方位強化資安韌性與防禦思維

Fortinet報告指出，相對於導入整合式網路安全平台的企業，使用傳統單點資安產品的組織更容易成為勒索軟體威脅的受害者。而幾乎全數（99%）的企業認為，具備高度整合能力的網路安全平台，對抵禦勒索軟體攻擊而言至關重要。有鑑於此，Fortinet致力於發展技術創新，不但在Fortinet安全織網（Security Fabric）融合逾50種企業級資安解決方案，更持續擴展防禦生態系，運用自動化且即時的回應機制，助企業資安長簡化資安防禦複雜度。在此同時，Fortinet 網路資安培訓學院亦提供企業全方位的檢測服務，包含資安事件回應（IR）診斷和模擬攻防、勒索軟體與安全營運中心（SOC）準備程度評估，以及安全營運中心即服務（SOCaaS）等，期盼透過應變流程與資安思維的整體革新，全面守護企業網路安全。

參考資訊

有關更多2023年勒索軟體威脅報告的詳細資訊，可參閱 Fortinet 部落格文章。此報告訪問來自台灣、美國、英國及日本等31個不同地區的569位資安專責主管。受訪者來自許多產業，包括製造業（29%）、科技業（19%）、交通運輸業（12%）和醫療業（11%）等。