企業最為關注的資安風險

2025年 企業資安風險事件排行

推動資安的三大挑戰

• 1. 老舊資訊系統更新 — 首當其衝
  今年，「老舊資訊系統更新」首度成為資安主管最憂心的議題。許多企業目前依然運行年代久遠的伺服器、作業系統、應用程式，這些系統可因為終止支援、安全更新缺乏、兼容性差、資安漏洞未被修補等因素，成為駭客的「靶場」。 調查中指出，服務業、一般製造業、政府/學校這三個領域中，有超過 55% 的企業將此視為首要挑戰；高科技製造、醫療業則將其列為第三大挑戰。舉例而言， Windows 10 作業系統已進入生命週期尾聲，若企業遲遲未進行系統汰換或升級，將面臨無法再獲得安全更新、兼容性與效能下降、資安攻擊面擴大的風險。
  
  
• 2. 資安意識教育訓練 — 人為防線的建立
  第二大挑戰為「資安意識教育訓練的實施」。「人」始終是最弱的一環，網路釣魚、社交工程、內部疏失、資料誤發布等事件的主因都與員工的認知、習慣、操作流程相關。調查顯示，高科技產業將此視為第一挑戰；而製造、醫療、政府等產業亦多將其列於前兩順位。但真正做到「全員資安意識具備、且能持之以恆」並不容易。問題包括：教育訓練形式單一、內容不貼近員工操作流程、無法量化成效、缺少持續性的「實境演練」或「紅隊攻擊演習」。因此，除了安排年度資安訓練課程外，企業更應考慮建立常態性的釣魚模擬、社交工程攻擊測試、員工操作觀察、資安文化推動等機制。
  
  
• 3. 資安事件應變能力的提升與維持
  第三大挑戰為「資安事件應變能力的提升與維持」。即便配置了多重防禦工具，也可能因為資安事件跨國、大規模或複雜化，使企業暴露於持續攻擊或長期滲透風險之中。調查指出，各產業普遍將此列為難題。這項挑戰包含：偵測機制不足、響應流程不清、事件演練未完整、資安監控需雲端＋混合環境整合、威脅情報應用不足、第三方供應鏈事件難控等。企業若無法強化這些能力，就算防禦建置完善，一旦被突破也可能無法迅速隔離、調查、恢復，並在面對媒體、監管機構時失守。
  
  

2025年 各產業推動資安所面臨6大挑戰

企業可採取的策略建議

• 1. 優先盤點並淘汰／升級老舊系統
• 建議企業全面盤點 IT／OT 架構中尚未升級或已終止支援的系統、作業系統、應用程式、網路設備。
• 制訂「淘汰／升級計畫」，包括時間表、預算、最優先處理項目（例如 Windows 10 將進入支援尾聲的情況）。 iThome大調查指出，老舊系統更新已成企業主要焦點。
• 在升級過程中，應同步修正資安漏洞、改善配置、導入最新監控機制，並測試相容性與效能。
• 若系統短期無法升級，應暫時採取隔離、防控、加強架構管理等替代措施，避免駭客透過漏洞進入。

• 2. 建立常態化／精準化的資安意識教育 & 演練
• 除年度課程外，推動動態、情境化的訓練：例如釣魚郵件模擬、自社交工程攻擊演練、資料誤發布演練等。
• 教育內容應貼近日常操作場景、網路釣魚樣態、社交媒體詐騙案例、內部資料誤置問題。
• 建立員工「資安行為指標」（如釣魚點擊率、資料誤發率、登入異常率）並進行追蹤與改進。

• 3. 建立並優化資安事件應變流程
• 制訂完整的「偵測 → 通知 → 調查 → 隔離 → 恢復」流程，並明確各角色責任與執行時間點。
• 建立完整的資安防護架構、威脅情報平台，提升攻擊偵測與回應速度。
• 定期實施演練（例如紅藍對抗演練、桌面推演、滲透測試、備援切換演練），驗證流程的可執行性。
• 建立事件後檢討機制，將經驗納入回饋機制、提升下一步防禦與恢復能力。
• 加強第三方／供應鏈之應變整合：若供應商遭攻擊，也可能波及自身，需與供應商協作建立通報與協同機制。

宏遠電訊所提供的一站式資安諮詢服務，可讓IT人員以最短時間、小幅的調整網路架構，即可針對眾多無法安裝資安軟體之網路端點設備，及時偵測其中隱蔽的威脅與潛在的內網擴散攻擊，並協助不同領域及規模的企業組織，共同抵禦企業資料加密勒索與外洩曝光的威脅，更進一步從防火牆、APT、資安快篩到MDR，提供企業最完整的資安諮詢服務。

宏遠提供專業的資安服務:

• 專業資安團隊，進行場域監控。
• 節省資安事件，鑑識調查時間。
• 完整了解企業，場域威脅狀況。
• 威脅預警機制，抑制駭客行為。
• 有效提升企業，資安防護能力和營運韌性。