iThome
对于现代人而言,网路资讯环境日益复杂,大家都深有所感。近年来,从智慧型手机的普及、云端服务的盛行,一直到疫情期间居家办公的需求激增,现在更是有生成式AI的迅速崛起,增添更多变数。
这些新技术与态势的转变,不仅是百年难得的机遇,也伴随全新的风险,导致企业组织背后的IT与资安单位,面临前所未有的挑战,例如,BYOD与行动应用的普及、混合云与多云架构的管理,以及远端存取成骇客攻击焦点等。
如今,还有生成式AI加剧DeepFake问题,也带来AI幻觉等不同风险,攻击者亦滥用新兴AI技术,发动更多逼真网钓、认知作战内容,还能利用AI强化攻击系统与窃取资料的技术。
随著2025年的到来,我们该如何看待现在的网路安全局势变化?许多专家都会引用世界经济论坛(WEF)发布的全球网路安全展望报告,结合全球经济角度,从更多元的视野审视此一问题。
线上诈骗与各式网路威胁活动层出不穷,复杂程度加剧
你对网路威胁的想像是什么?首先可能是「网路诈骗」消息,因为时常出现在新闻报导,这并非台湾独有的挑战,所有国家与地区皆面临各式各样的网路诈骗挑战,并对经济带来极大影响。
例如,全球防诈联盟(GASA)每年都会发布全球诈骗现况报告,指出各国面临不同的主流诈骗情境与态势。以2023年为例,全球诈骗损失超过1兆美元,有些国家的损失甚至达GDP的3%。
根据美国联邦调查局(FBI)旗下网路犯罪投诉中心(IC3)的估计,2023年美国因网路犯罪造成的损失,已超过125亿美元(约4,100亿元)。光是「投资诈骗」一项就有3.9万案件被受理,平均每日108件,造成45亿美元损失,跃升为近两年最猖獗的网路犯罪型态。此外,针对企业的「商业电子邮件诈骗(BEC)」依然严峻,2.1万受理案件就造成近30亿美元损失,并且持续比前一年度更高,相当惊人。
对于企业政府而言,关注的网路安全风险其实有更多的类型。
以我们每年进行的iThome大调查结果来看,区分为网路钓鱼/社交工程攻击、资安漏洞滥用、勒索软体资安事故,以及BEC诈骗、被植入窃资软体或后门木马、浏览恶意网站、DDoS攻击等。而近年还有GenAI风险管控的做法,亦成为台湾企业最新的关注重点。
若从资安业者揭露的种种威胁态势来看,也涉及几项关键议题,包括:APT(进阶持续性攻击)、供应链攻击、零时差漏洞利用的威胁更加严峻,以及勒索软体即服务(RaaS)、网钓即服务(PhaaS)盛行带来的影响等。
上述的区分也突显我们面临的资安威胁,种类相当广泛,彼此之间可能也有盘根错节的关联。
原因在于,每个威胁或技术层面,都有各自复杂性的议题,而且每一项都会随著时间而持续演进,或是因为其他新技术的出现,让老旧攻击手法又升级。
不仅如此,在全球技术趋势转变的影响下,例如,IT与OT的融合,云地混合的场景,也都持续带来不同层次的资安管理挑战。
WEF解析网路安全复杂问题,强调从6大因素交互影响看待
纵观世界资安情势的变化,WEF发布的全球风险报告,多年来受到非常多人的引用,而根据最新的2025年度报告指出,全球10大风险虽然仍以环境风险为主,但有3项科技风险的威胁大增,成为各界关注焦点。
尤其是「错误资讯与假讯息」因AI出现大幅加剧其风险,另两项风险也不容忽视,分别是「网路间谍活动与战争」,以及「AI技术的不良后果」。
在此同时,WEF亦发布《2025年全球网路安全展望》报告,针对网路安全的复杂性该如何解读的问题,特别针对6大因素探讨。这点令我们十分印象深刻,因为可以带给大家不同的审视角度。
这些因素分别是:网路犯罪技术精进、地缘政治紧张局势、供应链相互依存关系、法规要求、AI与新兴科技、网路安全技能缺口。更重要的是,它们同时也在交互影响,是造成网路安全日益复杂的主因。
换言之,目前我们所面临的资安威胁态势,不只是网路犯罪技术持续进化,形成更加精密的攻击模式,另也降低攻击门槛而扩大攻击规模,加剧资安威胁。还有地缘政治的紧张,使整体环境更加充满变数,供应链依赖程度的增加,也导致风险变得更不透明且难以预测,再有AI与新兴技术的快速发展,又带来了新的资安弱点与威胁。
另外,全球法规不断增加与变化,这也造成企业面临更高的合规压力,在此同时,上述种种问题也都受到资安人才技能短缺的影响,造成进一步削弱了企业的风险管理能力。
地缘政治影响网路安全生态,供应链依赖也成挑战
从WEF统整的上述因素来看,对照iThome过去一年的资安新闻报导,有许多相关实际案例呼应。
国家资助骇客网路间谍攻击大增
例如,在地缘政治紧张方面,对网路安全生态系带来显著的影响,国家资助骇客组织(State-Sponsored)的网路间谍攻击,这十年越加严峻。
例如,2024年底,多国电信业遭中国骇客组织入侵的消息,再次突显其严重性,尤其美国同时发现多家电信业遭中国骇客Salt Typhoon入侵;还有许多精心设计的供应链攻击、零时差漏洞利用的入侵与窃密攻击事件,背后多半也都是国家级骇客所为。
微软在2024年10月发布的2024年度数位防御报告,也提供相关证据。这当中揭露2024年最常被国家级骇客锁定攻击的国家,美国的情况最严重,其次为以色列、乌克兰、阿拉伯联合大公国、英国与台湾、南韩。我们认为,这也是反映地缘政治的冲突局势。
关键CI与海缆通讯的安全危机持续升温
随著网路威胁进一步发展,针对国家关键基础设施(CI)的攻击,同样持续引发各种危机。尤其是与OT安全有关油、水、电产业,虽然全球都更加重视这方面的资安,但事件仍然不断发生,像是2024年10月,美国最大水利公用事业American Water Works遭骇客入侵。
甚至,过往并未受到热烈关注的海底电缆,如今也成为新的实体安全焦点。因为,位于波罗的海的海底电缆,先前发生遭中国船只疑似蓄意切断的事故,台湾最近几个月以来,也面临同样的问题,像是台马与台澎的海缆,都发现遭中国船只疑似蓄意破坏。
供应链集中风险备受探讨
在供应链依赖导致的重大危机方面,2024年7月的CrowdStrike软体更新出包,造成全球电脑大当机就是一例。由于其用户数量庞大,产品更新出问题而造成许多企业Windows电脑当机,同时也冲击许多关键民生服务的运作。
这次事件的发生,使得多项议题受到关切。例如,面对骇客入侵越来越刁钻的态势,促使资安侦测技术须深入作业系统的底层,这也导致作业系统平台暴露在更多的风险之下;再者,全球电脑大当机事件,造成金融、零售、航空服务大乱,甚至影响医疗、媒体、铁路运输与911紧急救,因此IT系统风险过于集中的议题,更是受到各界探讨。
供应链日益复杂与高度依赖状况依旧
此外,若从资安研究人员持续发布的漏洞攻击研究结果来看,亦显现出当今资讯系统的复杂程度不断提升。而且,许多缺乏安全开发设计的老旧系统仍在使用,甚至不安全的底层元件,异质系统之间的沟通联系,也导致企业难以全面掌握供应商的资安状况。
审视网路犯罪领域变化,从经济面与技术面剖析
关于网路犯罪技术持续精进,2025年我们要注意哪些重点?这有两个面向,一是网路犯罪商业模式的持续演进,另一是AI助长网路犯罪。
网路犯罪黑色产业变得市场经济化
首先,WEF指出,网路犯罪即服务(Cybercrime-as-a-Service,CaaS)已成全球网路犯罪市场的主流商业模式。
虽然WEF没有对此更深入解释,但事实上,我们在许多资安业者的研究揭露中,已经看到太多这方面的消息,有多种网路犯罪商业模式的兴起到普及,包括:勒索软体即服务(RaaS)、网钓即服务(PhaaS)、诈欺即服务(FaaS),分散式阻断服务(DDoS)攻击也有租赁服务等,还有专门贩售入侵管道的初始入侵掮客(IAB),以及与存取即服务(AaaS)也成蓬勃发展的黑色产业。
过去大家可能分别看待网路犯罪议题,但若是通盘审视,我们确实可看出企业组织面临这类挑战的威胁,已经越来越巨大。虽然已有多国执法单位联合资安业者采取行动取缔,但现阶段仍感到如同野火烧不尽的状况一般。
较特别的是,WEF另还指出网路犯罪与传统组织犯罪的结合之后,可能改变网路犯罪的性质,对社会带来更大的影响。像是东南亚地区有许多人被诱拐至诈骗工厂拘禁,并且从事个资窃取、假讯息传播与社交工程诈骗。
AI成为网路犯罪的催化剂
在AI助长网路犯罪方面,WEF指出,攻击者利用AI强化网钓攻击与社交工程攻击的情形,在2024年已越来越多见;生成式AI的快速发展,也让恶意软体的开发、自动化漏洞的利用,以及攻击的部署,都变得比过去更容易,使得我们身处的威胁态势更严峻。
以Deepfake技术为例,相关的诈骗将严重冲击企业与个人,尤其是伪冒企业高层影像、声音与文字风格的情形。我们在2024年也实际看到威胁事件,有攻击者利用Deepfake技术来实施传统的商业电子邮件诈骗(BEC)。
2024年1月,香港警方指出一家跨国公司香港分行员工遭遇Deepfake诈骗,原因是骇客寄送钓鱼邮件、假冒总部财务长召开视讯会议,导致员工依照上级指示转帐,结果被骗走2,500万美元(约8.2亿元)。到了2024年5月,英国工程公司Arup证实此次资安事件。
我们认为,此案的特殊之处在于,当人类演进到生成式AI时代,攻击者已经实际运用这项技术,将BEC诈骗手法重新包装。不同于过去只是透过邮件管道指示变更汇款帐号,现在还能利用经过伪冒、操纵的影像与声音,使受害者误以为他们正在与真正的同事对话。
新兴AI、法规变化与资安技能缺口,同样冲击资安环境
在地缘政治紧张、供应链依赖,以及网路犯罪技术精进之外,WEF还强调其他影响网路安全复杂程度的构面,分别是AI与新兴科技、法规要求,以及网路安全技能缺口。
以AI与新兴科技而言,除了前面谈到新的生成式AI助长网路犯罪,还有生成式AI本身风险与立法方面的议题。WEF认为,企业组织应用生成式AI已成显著趋势,但普遍仍缺乏安全AI部署。
以法规要求而言,大多数企业均认为,资安与隐私法规能帮助降低企业生态系统的风险,然而,也有许多企业认为法规的日益繁琐与碎片化,因此,确实带来极大的合规挑战。
至于资安技能缺口方面,全球过去几年已在关注这样的问题,WEF指出2024年人才短缺问题还会加剧,因为资安威胁持续扩大,导致企业对于专业资安人才的需求激增,但市场供应仍然严重不足,进一步削弱企业的防御能力。
网路安全风险攸关全体人类发展,企业也要有全面的网路韧性战略
整体而言,资安领域的变化极快,挑战也日益严峻,我们从全球资安事故与灾情的发生与揭露,已经深刻体认到这些变化,对照WEF年初提出从上述六大构面的交互影响,同样显现其背后的复杂程度。
对于大众而言,更充分了解这些概况,才能认识到这是全人类共同面对的挑战;对企业来说,需建立全面的网路韧性战略,因应日益复杂的数位环境。
此外,目前全球面临的另一大挑战,也不能忽视其影响,那就是网路不平等(Cyber inequity)。大型企业认为自己准备不足的比例减少,但中小型企业认为自己准备不足的比例增多。
因此,全球在资安联防、资安激励机制上,不仅要帮助资源有限的企业,以确保整体系统的资安韧性,也要基于有限的资源,做到更有效率的投入。同时,加速应对AI风险、用AI帮助资安的发展,也会是当务之急。
世界经济论坛揭露资安局势趋于复杂的6大原因
影响原因 地缘政治紧张局势
重点观察与变化 ● 地缘政治紧张局势加剧,导致整体环境更加不确定并影响资安策略。
● 企业更加关切网路间谍活动、智慧财产权窃取的风险。
影响原因 供应链相互依存关系
重点观察与变化 ● 供应链日益复杂与高度依赖下,第三方软体漏洞与供应链攻击受企业关注。
● IT系统过于集中可能引发的风险,随CrowdStrike事故发生而备受探讨。
影响原因 网路犯罪技术精进
重点观察与变化 ● 生成式AI助长网路犯罪更精密与更自动化,钓鱼攻击与社交工程攻击显著增长,Deepfake技术被广泛应用于资安诈骗。
● 网路犯罪即服务成全球犯罪市场的主要商业模式,同时生成式AI降低骇客门槛,扩大攻击规模。
影响原因 法规要求
重点观察与变化 ● 全球法规推动资安韧性,但数量增加与变化使企业面临更高的合规压力。
● 不同地区资安法规增加引起法规碎片化的问题,加重企业合规挑战。
影响原因 AI与新兴科技
重点观察与变化 ● 企业在应用AI加速竞争力与追求数位转型时,可能未充分考虑AI相关的资安风险。
● 企业未能建立强大的资安文化,将更不利于因应AI部署的风险。
影响原因 网路安全技能缺口
重点观察与变化 ● 资安技能缺口仍是企业提升韧性的一大挑战,重视资安人才培训也要关注职业倦怠风险。
● 随著网路安全复杂程度持续提升,资安技能短缺问题也持续扩大,相对是在削弱企业的风险管理能力。
资料来源:世界经济论坛,iThome整理,2025年3月
错假讯息、网路间谍威胁攀升,名列全球第1与第5风险
世界经济论坛《2025年全球风险报告》1月出炉,刚好是该报告发布的20周年。在今年的短期风险排行榜中,第一名是科技类型风险,连续两年都是这样的排名,就长期风险而言,仍以多项环境风险为主,科技风险次之。
基本上,WEF将风险分成五大类别,包括:经济、环境、地缘政治、社会,以及科技风险。
根据WEF最新发布的报告内容指出,以未来2年的全球10大风险而言,科技风险居于第1名与第5名,我们必须优先关注,这些威胁分别是错误资讯与假讯息,以及网路间谍活动与战争。
至于其他重要风险包括:环境风险居于第2名、第6名,分别是极端气候、污染;地缘风险居于第3名、第9名,分别是国家武装冲突、地缘经济对抗;社会风险占据第4、7、8、10名,最高是排名第4的社会两极化。
值得我们关注的是,「错误资讯与假讯息」已连续两年居于短期10大风险之首。
对此状况,报告中特别强调生成式AI在大规模产生虚假或误导性内容方面的作用,以及与另一项风险社会两极化的关联。
不仅如此,WEF也直截了当指出个中关键!他们认为,社会接触到的虚假或误导性内容数量持续增加,使得公民、企业与政府更难以辨识真实资讯。
同时,在错误资讯、社会及政治两极化这两者的交互作用下,更进一步加剧演算法偏见的风险。而且,演算法偏见也成为加剧错误资讯的推手,在这样的态势下也让威胁者有机可乘,扩大影响力。
全球数据治理与监管政策各异也产生影响,因为这会造成公民数位足迹,
面临隐私保护与监控风险的两难局面。
面对社会分裂感日益增强的状况,达成共识是否越来越难?
WEF列出几项建议,例如:企业需要加强技术与伦理的培训,减少演算法的偏见,而且,政府与社会应该推动公民数位素养教育,提升隐私的保护,以及辨识假讯息的能力,同时,也要建立AI使用的透明框架,才能让数位生态重新建立信任基础。
另一项不可轻忽的科技风险,是排名第五的「网路间谍活动与战争」。这项风险之所以日益严峻,同样与其他风险项目之间有著连动关系。
WEF表示,虚假或误导内容的泛滥,导致地缘政治环境更加复杂化,地缘经济对抗的这项风险,从前一年度的第14名攀升至第9名,在这种局势下,政府主导的商业网路间谍活动也可能变得更加频繁。而且,上述这些也都是与国家武装冲突高度相关的风险。
换个角度,从未来10年的十大风险来看,WEF指出最主要还是环境风险,涵盖第1至4名与第10名,科技风险也不容小觑,居于第5、6、9名,当中不仅是包含错误资讯与假讯息、网路间谍与战争,还有一项是「AI技术的不良后果」。WEF指出,这项风险在短期风险排名仍低,但在长期风险却是上升幅度最大的风险之一。
全球短期10大风险排名(2025年至2027年)
1 错误资讯与假讯息(科技风险 )
2 极端气候事件(环境风险)
3 国家武装冲突(地缘政治风险)
4 社会两极化 (社会风险)
5 网路间谍活动与战争(科技风险 )
6 污染(环境风险)
7 不平等 (社会风险)
8 非自愿移民与流离失所 (社会风险)
9 地缘经济对抗(地缘政治风险)
10 人权与公民自由的侵蚀 (社会风险)
科技风险重点变化说明
● 「错误资讯与假讯息」从2023年被列为风险项目,当时居于短期风险的第16名,归类在社会风险;2023年随著AI快速演进,「错误资讯与假讯息」改列科技风险,并且跃居为短期十大风险之首,而且在2025年再度名列第一。
● 「网路间谍活动与战争」是2025年新调整项目,成为年度第5大短期风险。上一年度,则是「网路不安全」的科技风险项目名列第4。
● 2025年有2项科技风险入榜短期10大风险,占据第1名与第5名。两年前仅1项科技风险「广泛的网路犯罪与网路不安全」居第8名。
资料来源:世界经济论坛,iThome整理,2025年3月