OneDegree Global 發布2024臺灣保險業資安曝險調查報告,比較2021年底對30家壽產險業者的外在資安曝險情形評級與分析,並追蹤報導同30家業者,以評估其在兩年內是否改善並提升資安態勢。結果顯示,8成業者使用之 SaaS 平台發生帳號密碼外洩,凸顯影子IT問題,易被駭客拿來做為社交工程攻擊的工具。
金融保險業這兩年所面臨首要的資安風險,屬駭客攻擊與社交工程手段為主;同時,隨著國內金管會鬆綁金融上雲規範,雲端供應商間接成為潛在跳板攻擊。
生成式人工智慧的興起更引起了企業對社交工程威脅的擔憂,金融業尤其關切 ChatGPT 可能被濫用成為輔助攻擊工具。這進一步提醒金融業者,生成式人工智慧能夠自動化和定制社交工程手段,因此,金融安全主管在未來一年內加強了對社交工程手段的警戒態度,進而提高了相關風險的評估。
OneDegree Global旗下資安品牌Cymetrics商務開發總監,Eric Fang表示:「金融業是資訊防護領域扎根最深的產業,然而這次調查發現8成業者使用之 SaaS 平台發生帳號密碼外洩,也反映到影子IT現象所導致的結果,最常使用並造成帳密外洩的SaaS 軟體,如 Adobe、Canva、Dropbox 及 LinkedIn等等。」
本次資安曝險調查針對五大常見外部曝險面進行分析,重點結果包含:
- 網路服務:臺灣保險業者的表現優異,全部的保險業者針對對外服務皆有進行控管,資安評級平均落在 A ~ A+的等級,跟 2021 年的資安評級平均落在 A 相較之下,可以看出業者在這兩年當中更加留意對外服務的權限管控,也就是從外部的角度收集不到資料,很難針對業者的對外服務進行資料收集及攻擊嘗試。
- 網站:臺灣保險業者資安評級平均落在A- ~ C ,有13%的業者落在A-,87% 的業者則落在B~C 中間,也就是有攻擊突破面上的短板產生,可能因此成為攻擊者攻擊鏈的一環,跟2021 的資安評級平均落在B ~ B- 相較之下大幅降低,而評級降低的原因主要在於業者網站的防禦設定上有五項安全設置錯誤比例偏高,推測因其大多為預設的緣故,導致容易被忽略。
- 電子郵件:臺灣保險業者資安評級平均落在A+~C-,跟2021 的資安評級平均B- ~C 相較之下,42% 的業者落在A 以上,大幅改善電子郵件相關設置,而58%的業者仍維持在B- ~C,主要在於其業者大多忽略了 DMARC 以及 SPF 設置,導致郵件系統安全出現短板,使業者因此容易成為攻擊者鎖定執行社交工程攻擊的標的。
- 帳號密碼:為此次調查中與2021年的調查差異最大的測項,臺灣保險業者資安評級平均落在C ,有 80 % 的業者評級落在C,而2021的資安評級則是平均落在 A,只有 20% 的業者評級落在 C。這也與近年來生成式人工智慧的快速發展有關,ChatGPT 除了讓企業員工能夠在工作上更有效率,也被駭客拿來做為社交工程攻擊的工具,進而讓員工帳密更容易流出至暗網當中。
- 雲端安全:臺灣保險業者評級分數皆為 A+ 以上,與2021年的資安評級一致。本調查並未發現保險業者在其網域名稱下有任何對外公開之雲端儲存體或公共程式庫,然而 OneDegree Global 預期在數位轉型驅動下,有越來越多企業會逐步採納公有雲服務,因此將持續關注並擴充雲端安全的曝險測試項目。
此外,OneDegree Global 亦針對產業法遵技術面進行保險業者合規評級:
- ISO27001:產業合規平均分數 89.7 分,主要因證撤銷機制未設定完整、不安全加密套件及憑證過期而被扣分。
- PCI DSS:產業合規平均分數 90.0分,主要有兩大項扣分項目:
- 網站應用上的 CSP(內容安全性原則)未配置或配置錯誤、X-Frame-Options 未設置或安全等級不足及缺少 CSRF Token 及 Cookie 的三項基本設定未設置或配置錯誤。
- 因憑證撤銷機制未設定完整、不安全加密套件及憑證過期。
- GDPR:產業合規平均分數 85.9 分,主要因證撤銷機制未設定完整、不安全加密套件及憑證過期而被扣分。
- NIST CSF: 這兩年我們新增一項法規技術面評級,即美國國家標準與技術研究所提出的「NIST Cybersecurity Framework」,透過系統性和完整的標準框架,協助企業全面檢視其資訊安全防禦的薄弱點。產業平均分數90.0分,主要原因為網站及電子郵件安全設定之曝險無法符合下列科技面之要求。