調查:台 8 成保險業者 SaaS 平台帳密外洩,凸顯影子 IT 問題

2024-01-31 11:18:00    編輯: 邱 倢芯
導讀 保險科技公司 OneDegree Global 公布了 2024 台灣保險業資安曝險調查報告,比較 2021 年底對 30 家壽產險業者的外在資安曝險情形評級與分析,並追蹤報導同 30 家業者,以評...


保險科技公司 OneDegree Global 公布了 2024 台灣保險業資安曝險調查報告,比較 2021 年底對 30 家壽產險業者的外在資安曝險情形評級與分析,並追蹤報導同 30 家業者,以評估其在兩年內是否改善並提升資安態勢。報告中也發現,其中 8 成業者使用之 SaaS 平台發生帳號密碼外洩,凸顯影子 IT 問題,易被駭客拿來做為社交工程攻擊的工具。

金融保險業這兩年所面臨首要的資安風險,屬駭客攻擊與社交工程手段為主;同時隨著國內金管會鬆綁金融上雲規範,雲端供應商間接成為潛在跳板攻擊。生成式人工智慧的興起更引起了企業對社交工程威脅的擔憂,金融業尤其關切 ChatGPT 可能被濫用成為輔助攻擊工具。報告中也提醒金融業者,生成式人工智慧能夠自動化和定制社交工程手段,因此,金融安全主管在未來一年內加強了對社交工程手段的警戒態度,進而提高了相關風險的評估。

OneDegree Global 旗下資安品牌 Cymetrics 商務開發總監 Eric Fang 表示,金融業是資訊防護領域扎根最深的產業,然而這次調查發現 8 成業者使用之 SaaS 平台發生帳號密碼外洩,也反映到影子 IT 現象所導致的結果,最常使用並造成帳密外洩的 SaaS 軟體,如 Adobe、Canva、Dropbox 及 LinkedIn 等。

這份資安曝險調查也針對了五大常見外部曝險面進行分析:

(Source:OneDegree Global)

網路服務

台灣保險業者的表現優異,全部的保險業者針對對外服務皆有進行控管,資安評級平均落在 A ~ A+的等級,跟 2021 年的資安評級平均落在 A 相較之下,可以看出業者在這兩年當中更加留意對外服務的權限管控,也就是從外部的角度收集不到資料,很難針對業者的對外服務進行資料收集及攻擊嘗試。

網站

台灣保險業者資安評級平均落在A- ~ C ,有 13% 的業者落在 A-,87% 的業者則落在 B~C 中間,也就是有攻擊突破面上的短板產生,可能因此成為攻擊者攻擊鏈的一環,跟 2021 的資安評級平均落在 B ~ B- 相較之下大幅降低,而評級降低的原因主要在於業者網站的防禦設定上有五項安全設置錯誤比例偏高,推測因其大多為預設的緣故,導致容易被忽略。

電子郵件

台灣保險業者資安評級平均落在 A+~C-,跟 2021 的資安評級平均 B- ~C 相較之下,42% 的業者落在 A 以上,大幅改善電子郵件相關設置,而 58% 的業者仍維持在 B- ~C,主要在於其業者大多忽略了 DMARC 以及 SPF 設置,導致郵件系統安全出現短板,使業者因此容易成為攻擊者鎖定執行社交工程攻擊的標的。

帳號密碼

為此次調查中與 2021 年的調查差異最大的測項,台灣保險業者資安評級平均落在 C ,有 80 % 的業者評級落在 C,而 2021 的資安評級則是平均落在 A,只有 20% 的業者評級落在 C。這也與近年來生成式人工智慧的快速發展有關,ChatGPT 除了讓企業員工能夠在工作上更有效率,也被駭客拿來做為社交工程攻擊的工具,進而讓員工帳密更容易流出至暗網當中。

雲端安全

台灣保險業者評級分數皆為 A+ 以上,與 2021 年的資安評級一致。本調查並未發現保險業者在其網域名稱下有任何對外公開之雲端儲存體或公共程式庫,然而 OneDegree Global 預期在數位轉型驅動下,有越來越多企業會逐步採納公有雲服務,因此將持續關注並擴充雲端安全的曝險測試項目。

(首圖來源:shutterstock)



關鍵字: , , ,


標題:調查:台 8 成保險業者 SaaS 平台帳密外洩,凸顯影子 IT 問題

地址:https://www.utechfun.com/post/325962.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

猜你喜歡