iThome
高科技製造業是臺灣重要關鍵產業,近期卻發生宏碁電腦、廣達電腦遭到勒索軟體REvil的威脅,以宏碁電腦為例,雖然拒絕支付駭客集團5,000萬美元(新臺幣14億元)的高額贖金,但從該公司系統遭到駭客集團植入勒索軟體看來,企業系統岌岌可危,才讓駭客如入無人之境。
KPMG主要抽樣的對象是臺灣50家大型企業,他們假設的前提是:大公司資源豐富,可以有更多資源投入資安,想藉此了解大型企業在網路防護的真實狀況。臺灣除了金融業,其他包括製造業、電子零組件製造業、通訊業以及電腦及周邊設備製造業等,在網路防護綜合平均分數,都在70分到80分的C級區間,而這樣的資安等級「只要一般的專業駭客就可以侵害,」他說,目前全世界喊得出名號的駭客組織都算是這一類。
企業曝險調查分成隱私性(Privacy)、韌性(Resiliency)、聲譽(Reputation)和安全性(Safeguard)四大技術檢測面向,每一個面向當中,又有五項細部檢測項目,像是隱私性,就囊括:檢測SSL/TLS強度(SSL/TLS Strength)、憑證管理(Credential Management)、暗網分享(Hacktivist Shares)、 社群網路(Social Network)和資訊揭露(Information Disclosure)等五項檢測項目。
其他在韌性面向的檢測項目,則包括:攻擊面(Attack Surface)、DNS健康度(DNS Health)、電子郵件安全性(Email Security)、DDoS承受度(DDoS Resiliency)以及網路安全性(Network Security);聲譽檢測項目則包括:品牌監控(Brand Monitoring)、IP聲譽(IP Reputation)、欺詐應用程式(Fraudulent Apps)、欺詐網域(Fraudulent Domains)和網頁排名(Web Ranking);至於安全性檢測的項目,則包括:數位足跡(Digital Footprint)、漏洞修補管理(Patch Management)、應用程式安全性(Application Security)、CDN安全性(CDN Security)和網頁安全性(Website Security)等項目。
透過四個面向、20個檢測項目的綜合成績,每10分列為一個等級,總計分成A、B、C、D和F等五級,A級是90分以上,需要世界一流駭客才可以入侵企業;B級是80到89分,需要經驗豐富的駭客才能入侵企業;C級是70到79分,只需要一般專業駭客就可以入侵企業;D級是60到69分,入門級的駭客就有機會成功入侵企業;最後則是F級、60分以下的不及格分數,會寫基本網路程式的初學者(Script Kids,腳本小子),就可能入侵企業。
KPMG將企業網路防護等級分5級,臺灣50家大型企業平均為78分,列為C級,只要是一般的專業駭客,就有能力入侵企業。
金融業DNS控管倒數第二,品牌監控與網頁排名倒數第一。平均網路防護分數83.69分,為各產業排名第一名,但若是比較網頁排名分數,得分73.92分,排名最後。金融業重視安全防護,對於各種網路採取高限制手段,但面對純網銀和開放銀行可能分食銀行客戶的挑戰,金融業也必須透過SEO(搜尋引擎優化)手段,提升網路知名度。