News

必維專欄-台灣資安態勢洞察:從挑戰中淬鍊韌性與治理實踐

6 月. 10 2025

(文:陳宣宏 博士)

在瞬息萬變的數位時代,資安威脅已從單點攻擊演變為影響層面廣泛的系統性風險。本報告旨在觀察台灣企業所面臨的最新資安態勢,探討企業攻擊頻繁、個資外洩加劇的成因,分析台灣內外政策應對措施,及建議企業如何強化資安韌性、提升治理水準,以有效應對當前及未來的資安挑戰。

1.台灣資安態勢概述:攻擊頻率與複雜度雙雙攀升

近期的資安事件[1][2]觀察顯示,台灣企業面臨的網路威脅日益嚴峻,攻擊頻率與複雜度均顯著提升。上市櫃公司通報的資安事件(公開資訊觀測站)數量持續增加,平均每週皆有資安事件發生。這不僅導致營運中斷和資料外洩,更突顯了企業資安防護的急迫性。

  • 頻繁的企業攻擊面貌
  1. 勒索與資料勒索盛行:供應鏈的潛在弱點持續被利用,例如,有台灣資訊服務業者遭受勒索攻擊,突顯供應鏈在資安防護上的薄弱環節。國際勒索軟體集團甚至轉向純粹的資料竊取與勒索,這使得資料外洩的風險與影響加劇(Hunters International Ransomware-as-a-Service, RaaS)。
  2. 雲端與開源平台威脅加劇:許多企業高度依賴雲端服務與開源平台,但也因此面臨日益嚴峻的威脅。例如,全球領先的雲端服務供應商及軟體開發平台都曾爆發資安事件,導致憑證洩漏或服務中斷。特別是 OAuth 劫持等手法,讓駭客能濫用合法流程入侵帳戶,即使採用多因素驗證(MFA)也可能被繞過。此外,網站外掛程式遭濫用以隱藏惡意程式碼的案例也持續出現。
  3. 針對性攻擊與舊漏洞利用:資安威脅組織如 CrazyHunter 展現出高度針對性,其攻擊活動主要鎖定台灣的醫療、教育、製造及工業組織,並在贖金訊息中明確標示攻擊區域(tw)。值得注意的是,許多攻擊仍利用四年以上的舊漏洞進行,顯示企業在修補管理方面仍有提升空間。
  4. 社交工程複合化:網路釣魚手法日趨複雜,如 Darcula 透過多種範本冒充品牌竊取憑證,Tycoon2FA 和 Storm-2372 則利用新技巧繞過 MFA 竊取帳戶。最新的「ClickFix」攻擊更透過偽造錯誤訊息或人機驗證(CAPTCHA)畫面,誘騙使用者手動執行惡意指令,這類攻擊已擴及所有主流桌面作業系統平台。
  5. AI 應用帶來新型風險:人工智慧(AI)在資安領域的應用日益普及,但同時也產生了新型態的供應鏈風險,如AI 幻覺捏造軟體的「假套件」(Slopsquatting)。這提醒開發者在採用 AI 輔助開發工具時,須審慎檢查自動化建議的套件與程式碼是否安全。
  • 個資外洩加劇:從企業到公民無一倖免
  1. 台灣公民資料在暗網論壇(Breach Forums)上持續被銷售,揭露了廣泛的個人資料外洩問題,甚至包括政府相關網域註冊的會員資料。
  2. 醫療機構面臨重大挑戰,曾發生病歷資料遭竊的事件,警示了醫療資料的高度敏感性與防護不足。
  3. 企業在資料遮蔽的實作上存在困難與法遵壓力,若未強化資料分類、遮蔽技術與金鑰管理,可能導致機敏資料外洩。
  • OT/ICS 資安風險浮現:關鍵基礎設施的脆弱性
  1.  營運技術(OT)安全預算不足被視為系統性風險。IT 與 OT 設備的聯網,若缺乏足夠防護,可能使 IT 防護能力降低,並成為攻擊弱點。
  2. 工業控制系統(ICS)/OT 環境中,路由器是企業網路中風險最高的設備,因為它們包含最多嚴重的漏洞。有研究指出,將安全工作重點集中在單一領域,可能導致攻擊面的盲點。
  3. 專家強調,有針對性地投資 ICS/OT 特定的安全培訓對於有效保護關鍵基礎設施至關重要。組織必須將 IT 與 OT 環境的互聯互通納入綜合安全策略考量,以應對跨域漏洞。

2. 政策與法規應對:全球與台灣的資安治理升級

面對日益嚴峻的資安挑戰,各國政府與國際組織積極研擬新政策、法規與指引,以提升國家整體的資安韌性與治理能力。

  • 國際法規趨勢與資安標準升級
  1. 全球資安法規趨嚴:中國、日本、韓國、美國及澳洲等國家皆針對 AI 應用、個資保護與詐騙防制進行新政策研議。國際上如歐盟 CRA (Cyber Resilience Act) 正在推動強制漏洞通報制度,要求製造商面對明確的通報時限與法定責任,這意味著產品漏洞不再是單一廠商的內部問題。
  2. 新興技術治理:新加坡網路安全局(CSA)已擴展其資安認證標章,將雲端安全、人工智慧(AI)安全與工控系統(OT)安全三大領域納入評估範圍[3]。此外,後量子密碼學(post-quantum cryptography,PQC)的遷移藍圖也已發布,以應對未來量子運算對現有加密體系的威脅。且SSL/TLS 憑證有效期也將逐步縮短,鼓勵企業自動化更新。
  3. 供應鏈與隱私強化:德國聯邦資訊安全局(BSI)提出 openCode 平台以強化軟體供應鏈安全。美國 NIST 則更新了隱私框架,以協助組織識別、評估與管理資料處理所面臨的隱私風險。
  • 台灣政策與法規進展
  1. 資通安全管理法修法:立法院5/22初審通過《資通安全管理法》修正草案,將關鍵基礎設施未通報資安事件的罰鍰上限提高至新台幣 1000 萬元。這項修法旨在強化對特定非公務機關的監管,並要求對涉及台灣資安產品的使用進行限制或禁止[4]。
  2. 個資保護委員會籌備:行政院已通過「個人資料保護委員會組織法」草案,將設立獨立監管機關,以強化個資保護。未來將統一受理個資事故通報,並要求公務機關設置個資保護長,深化公部門個資保護文化[5]。
  3. 國家資通安全發展方案:數位發展部提報第七期「國家資通安全發展方案(114年至117年)」草案,目標是強化全社會防禦韌性、提升關鍵基礎設施資安韌性、壯大台灣資安產業,並透過 AI 建立主動防禦機制。這包括推動資通產品檢測驗證制度與國際接軌,以及強化政府採購供應鏈風險管理[6]。
  4. 資安院產品資安計畫:國家資通安全研究院啟動產品資安推動計畫,從專業人才培育、PSIRT 制度建置、漏洞獵捕機制、標章國際接軌等四大面向著手,協助產業建立制度化的資安治理能力。

3. ISO 27001:2022 資訊安全管理系統驗證服務:強化資安韌性的核心

面對上述複雜多變的資安挑戰與日益趨嚴的法規要求,企業需要一套系統性、全面性的資安管理框架。ISO 27001:2022 資訊安全管理系統正是能協助組織有效應對這些挑戰,並提升整體資安韌性的國際標準。

ISO 27001:2022 不僅僅是一個資安標準,更是一個綜合性的風險管理框架。它能協助組織系統化地識別、評估與應對資安風險,確保資料的機密性、完整性與可用性。透過導入並驗證此標準,企業可展現對資訊安全的承諾與專業度,從而增強客戶信任與市場競爭力。

以下將探討 ISO 27001:2022的控制措施如何應對上述提及的資安管理與挑戰:

  • 資料保護與隱私強化
  1. A.8.11 資料遮蔽控制措施明確要求組織依據存取控制政策與法規實施資料遮蔽技術。這包括運用加密、假名化、匿名化等技術,有效保護個人資料(PII)與敏感資訊,避免未經授權的存取。
     
  2. A.5.34 隱私及 PII 保護控制措施要求組織識別並符合適用法律、法規及契約中關於隱私及 PII 保護的要求。這有助於企業應對個資外洩加劇的現況,確保資料蒐集、處理、利用和傳輸的合法性與安全性。
  • 身分與存取管理強化
  1. 身分安全是現代網路安全的支柱。標準建議組織透過實施多因素身份驗證(MFA)、建立強密碼策略、最小權限原則及零信任架構來防止基於憑證的攻擊,如:A.5.16 身分管理、A.5.17 鑑別資訊、8.2 特殊存取權限、A.8.5 安全鑑別等。
     
  2. A.5.3 職務區隔旨在避免職務衝突與責任範圍不清的問題,從管理層面降低內部風險和憑證濫用的可能性。
  • 安全開發生命週期與供應鏈風險管理
  1.  A.8.25 安全開發生命週期、A.8.28 安全程式設計 及 A.8.29 開發及驗收中之安全測試,共同為組織提供了一個系統性的框架,以確保軟體和系統在整個開發過程中即融入安全考量。這包括整合靜態與動態分析工具到 CI/CD 流程、建立如軟體物料清單(SBOM)以管理第三方組件風險,並採用暴露驗證(Exposure Validation)來優先修補真正可被利用的漏洞。
     
  2. 標準鼓勵對外部供應商的軟體或組件進行獨立安全測試,並簽訂明確的安全合約,以有效管理日益嚴重的供應鏈資安風險。

網路安全與持續監控

  1. A.8.20 網路安全控制措施要求組織保全、管理及控制網路與網路裝置。這包括實施如:網路分段、防火牆、虛擬私有雲(VPC)等技術來最小化攻擊面,並針對 IT/OT 融合環境提供防護建議。
  2. A.8.16 監視活動要求組織監視網路、系統及應用程式的異常行為,並建立正常行為基準(Baseline)。透過多層次監控機制(如 SIEM、IDS/IPS、流量分析) 並結合行為分析與威脅情報(A.5.7 威脅情資),可提升即時偵測與應變能力,將警報疲勞轉化為高價值事件處理。

結論與展望

當前台灣的資安態勢充滿挑戰,企業攻擊頻繁、個資外洩加劇、OT/ICS 風險浮現。面對這些趨勢,被動的防禦已不足以應對。政府與國際社群正積極推動更嚴格的法規與標準,要求企業提升資安治理的成熟度。

ISO 27001:2022 資訊安全管理系統驗證服務為企業提供了一套全面且可行的路徑。透過此驗證,組織不僅能建立系統化的資安管理機制以應對當前挑戰,更能:
•    強化自身資安韌性:系統化識別、評估和應對風險,建立面對多樣化威脅場景的應變能力。
•    確保法規遵循:符合台灣與國際不斷更新的資安與個資保護法規,避免巨額罰款與聲譽損害。
•    提升客戶與夥伴信任:展現對資訊安全的承諾與專業度,在競爭激烈的市場中建立可信賴的數位環境。

建議所有企業加速防禦更新,強化供應鏈與身分認證管理,並針對新興科技如生成式 AI 與雲端服務建立新一代風險防控策略。透過導入 ISO 27001:2022,將資安從成本中心轉變為業務發展的策略夥伴,為組織的長期穩定與永續經營奠定堅實基礎。

[1] bleepingcomputer, https://www.bleepingcomputer.com/news/security/
[2] iThome, https://www.ithome.com.tw/news/
[3]https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/cyber-essentials/certification-for-the-cyber-essentials-mark
[4]https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11910
[5] https://www.ey.gov.tw/Page/9277F759E41CCD91/747cda78-926f-4205-99b3-1a735fc1b97b
[6] https://moda.gov.tw/ACS/press/news/press/16214

作者簡歷

  • 必維集團驗證事業部大中華區ICT產品經理