OneDegree Global 發布2024臺灣保險業資安曝險調查報告,比較2021年底對30家壽產險業者的外在資安曝險情形評級與分析,並追蹤報導同30家業者,以評估其在兩年內是否改善並提升資安態勢。其中8成業者使用之 SaaS 平台發生帳號密碼外洩,凸顯影子IT問題,易被駭客拿來做為社交工程攻擊的工具。
金融保險業這兩年所面臨首要的資安風險,屬駭客攻擊與社交工程手段為主;同時,隨著國內金管會鬆綁金融上雲規範,雲端供應商間接成為潛在跳板攻擊。生成式人工智慧的興起更引起了企業對社交工程威脅的擔憂,金融業尤其關切 ChatGPT 可能被濫用成為輔助攻擊工具。
五大常見外部曝險面分析
網路服務
臺灣保險業者的表現優異,全部的保險業者針對對外服務皆有進行控管,資安評級平均落在 A ~ A+的等級。跟 2021 年的資安評級平均落在 A 相較之下,可以看出業者在這兩年當中更加留意對外服務的權限管控,也就是從外部的角度收集不到資料,很難針對業者的對外服務進行資料收集及攻擊嘗試。
網站
臺灣保險業者資安評級平均落在A- ~ C ,有13%的業者落在A-,87% 的業者則落在B~C 中間,也就是有攻擊突破面上的短板產生,可能因此成為攻擊者攻擊鏈的一環。跟2021 的資安評級平均落在B ~ B- 相較之下大幅降低,而評級降低的原因主要在於業者網站的防禦設定上有五項安全設置錯誤比例偏高,推測因其大多為預設的緣故,導致容易被忽略。
電子郵件
臺灣保險業者資安評級平均落在A+~C-,跟2021 的資安評級平均B- ~C 相較之下,42% 的業者落在A 以上,大幅改善電子郵件相關設置,而58%的業者仍維持在B- ~C。主要在於其業者大多忽略了 DMARC 以及 SPF 設置,導致郵件系統安全出現短板,使業者因此容易成為攻擊者鎖定執行社交工程攻擊的標的。
帳號密碼
為此次調查中與2021年的調查差異最大的測項,臺灣保險業者資安評級平均落在C ,有 80 % 的業者評級落在C,而2021的資安評級則是平均落在 A,只有 20% 的業者評級落在 C。這也與近年來生成式人工智慧的快速發展有關,ChatGPT 除了讓企業員工能夠在工作上更有效率,也被駭客拿來做為社交工程攻擊的工具,進而讓員工帳密更容易流出至暗網當中。
雲端安全
臺灣保險業者評級分數皆為 A+ 以上,與2021年的資安評級一致。調查並未發現保險業者在其網域名稱下有任何對外公開之雲端儲存體或公共程式庫,然而 OneDegree Global 預期在數位轉型驅動下,有越來越多企業會逐步採納公有雲服務,因此將持續關注並擴充雲端安全的曝險測試項目。
That's concerning! Data security is a major challenge for any industry using SaaS platforms, and ensuring robust encryption and anti-social engineering measures is crucial. It's a reminder for businesses to prioritize cybersecurity while adopting SaaS tools. You can read more about SaaS-related updates and trends at XtraSaaS!