2025资安风险报告

趨勢科技 2025年資安風險報告Outpacing the adversary「趨勢科技 2025 年資安風險報告」證實我們朝主動式資安轉型是正確⽅向，現在，企業資安的⼯作重點再也不是防⽌資安事件的發⽣，⽽是搶先敵⼈⼀步，讓網路資安成為業務營運的動⼒。回顧2024 年的風險情勢，讓我們了解企業正暴露於哪些風險以及駭客有哪些⾏為，並依此建置反制措施，將資安從挑戰變成創新及業務成⻑的催化劑。這份報告引⽤了來⾃我們 Cyber Risk Exposure Management (CREM) 資安曝險管理解決⽅案的資料，這是我們 Trend Vision One™ 旗艦級網路資安平台的⼀環。這套解決⽅案的監測資料能發掘整體攻擊⾯的曝險狀況，有助於判斷各項風險領域的優先次序並加以解決。此外，這份報告還結合了來⾃我們延伸式偵測及回應 (XDR) ⼯具的原⽣資料及威脅情報，讓企業掌握敵⼈的相關資訊和風險洞⾒，讓您制敵機先並降低⾃⾝的資安風險指標 (Cyber Risk Index)。資安風險指標(CRI)為了建立⼀套主動式網路資安⽅法，我們引⽤了我們 Cyber Risk Exposure Management (CREM) 資安曝險管理解決⽅案的資料，這套⽅案的設計是要藉由評估整個攻擊⾯的風險並判斷其優先次序來建置適當的反制措施以防⽌企業數位資產遭到攻擊。CREM 能計算企業的「資安風險指標」(Cyber Risk Index，簡稱 CRI)，這是藉由彙整個別資產及風險因素的評分來將企業整體資安風險量化的⼀項指標。根據我們的研究發現，CRI ⾼於平均值的企業比起 CRI 較低的企業有更⼤的機率遭到攻擊。如同預防性健康檢查可以呈現⼀個⼈的整體健康狀況、分析⾝體可能暴露於哪些風險，然後擬定⼀套⾏動計畫來防範這些風險⼀樣，CREM 的⽅法也是先評估 CRI 然後擬定⼀套策略來降低該指標，進⽽改善企業的資安狀況。儘管風險評估本⾝採⽤的是「質化」的⽅法，但 CRI 卻是⽤⼀個 0 到 100 的數字來「量化」風險的⾼低，讓企業或產業更明確掌握⾃⼰的資安與風險狀況。CREM 會根據風險事件⽬錄來計算每⼀種資產類型的風險評分，以及企業的風險指標分數，將資產在攻擊、曝險與資安組態設定⽅⾯的評分，乘上資產的關鍵性。每⼀項資產的風險評分都是個別計算，且每⼀項評分都會考量到資產的類型與關鍵性。計算結果是⼀個介於 0 ⾄ 100 的整數，並分成三個等級區間：4Trend 2025 Cyber Risk Report•低度風險 (0-30)：-這類企業相對安全。-⼤致上沒有必須立即採取的重⼤措施。•中度風險 (31-69)：-這類企業有多項需要解決的風險因素。-建議考慮並建置適當的反制措施。•⾼度風險 (70-100)：-這類企業已暴露於嚴重的風險當中。-有必要立即採取嚴格的資安措施來防範潛在的威脅。請參閱我們的資安風險指標簡介以及我們的技術報告來了解風險評分的計算⽅式。本報告的監測資料涵蓋 2024 年 2 ⽉⾄ 12 ⽉這段期間，1 ⽉份的資料之所以被排除，是因為 CREM 儀表板的演算法在 1 ⽉底時曾經更新，其權重的加總⽅式會影響 CRI 的計算。⽽ 2024 年 2 ⽉⾄ 12 ⽉的監測資料都採⽤相同的演算法來計算，同時也提供了較為準確的 CRI 平均值。未來，CREM 的計算公式若有改進，我們也會適時公布。同時也請注意，產業 CRI 資料並未包含樣本太⼩、因⽽在統計上無相關性的產業。5Trend 2025 Cyber Risk Report資安風險指標資料整體平均CRI405042.57Trend 2025 Cyber Risk Report39.9 39.2 39.3 39.0 38.437.6 37.336.7 36.9 36.33020100FEB MAR APR MAY JUN JUL AUG SEP OCT NOV DEC(February 2024 - December 2024)在 2024 年，每個⽉的整體平均 CRI ⼀直在逐步改善，從 2 ⽉到 12 ⽉呈現出 6.2 分的差距。儘管這樣的改善意味著企業已成功將資安風險管理融入營運當中，但 36.3 的整體 CRI 仍處於中度風險區間，顯⽰企業仍有多項風險因素有待解決。這突顯出持續監控攻擊⾯風險完整⽣命週期的必要性，包括：發掘、評估，以及透過反制措施來防範風險。Average CRI for 2024: 38.4每⽉地區平均CRI (February 2024 - December 2024)我們的地區監測資料與整體平均 CRI 資料所呈現的趨勢⼀致。各地區的風險指標整體上都是下降的趨勢，歐洲改善幅度最⼤，從 2 ⽉⾄ 12 ⽉呈現出 7 分的差距。該地區正在努⼒推動數位營運韌性法 (DigitalOperational Resilience Act) 和資安韌性法 (Cyber Resilience Act) 來改善資安習慣與韌性，所以企業可能因此採取較為主動的資安⽅案，包括：系統修補、組態設定修正，以及調整使⽤者的存取⽅式與權限等等。雖然各地區的 CRI 在過去⼀年當中都有所改善，但各地的風險指標仍處於中度風險區間，且企業依然有未受保護的資產可能讓企業暴露於威脅。30405042.641.837.534.733.432.035.133.934.233.239.439.038.938.138.938.638.338.537.838.236.634.837.337.034.637.036.136.334.036.2 36.735.636.643.741.641.240.740.439.738.838.838.037.836.8Europe: 37.9Americas: 39.88Trend 2025 Cyber Risk ReportAMEA: 37.9Japan: 34.3Regional Average CRI for 2024FEB MAR APR MAY JUN JUL AUG SEP OCT NOV DEC(February 2024 - December 2024)每季平均CRI最⾼的產業 (February 2024 - December 2024)(February 2024 - December 2024)2024 年初，教育產業的平均 CRI 最⾼，⽽且即使到了最後⼀季依然是 CRI 最⾼的產業之⼀。該產業的企業機構很容易遭到網路攻擊，有可能導致教育服務中斷、資料外洩、智慧財產遭竊，以及商譽損失。Top industries with the highest average CRI for 2024FEB-MARAPR-JUNJUL-SEPOCT-DEC41.241.640.642.041.339.740.341.041.039.905020050403020100AgricultureCommunications Construction Education EnergyFinancial ServicesGovernment and Public ServicesHealthcareInsurance Transport