Fortinet旗下FortiGuard Labs威脅情資中心2024年12月12日公布《2025全球資安威脅預測》。報告指出,威脅者將採用更大規模、更大膽的手法,將其攻擊鏈專業化、強化特定攻擊環節,同時發展更具針對性、更複雜的結合虛實世界的攻擊劇本。此外,由於組織上雲趨勢,威脅者也將聚焦關注雲端環境、利用更多相關漏洞,自動化駭客工具也已進入暗網市場,預期將為其網路犯罪即服務(Cybercrime-as-a-Service, CaaS)的強度、規模再提升。
Fortinet台灣區總經理吳章銘表示,在AI技術發展的推波助瀾之下,網路犯罪手法持續演進。台灣企業組織處於威脅者關注熱區,更需正視組織全體資訊安全、積極採取行動。未來攻擊力道將不減反增,並以更多元化、複雜的形式出現,防禦方不僅要面對更專業化、更針對性的攻擊,更有涉及跨國犯罪和結合實體威脅的更複雜、大規模攻擊劇本,因此企業組織在每個環節的防禦強度提升更顯重要。除了運用AI驅動的安全營運提升防禦優勢,Fortinet建議跨組織、產業和公私部門之間合作並擴及整體社會,才能確保資訊安全、提升集體韌性。
《2025全球資安威脅預測》六大趨勢分析:網路威脅者持續採用數十年來的「經典」攻擊戰術,2025年的威脅預測聚焦於網路犯罪者如何進一步擴大規模、更加大膽,以及提升其攻擊效率。從網路犯罪即服務(CaaS)組織逐漸走向專業化、到採用結合虛實世界威脅的複雜劇本,網路犯罪者正在全面提升攻擊手法,執行更具針對性、危害性的攻擊行動。
預計在2025年以後將出現六大趨勢:趨勢一、攻擊鏈專業化程度日漸增強:近年來,網路犯罪者逐漸將更多精力投注於攻擊前(Left of boom)的偵察與武器化階段,使其威脅行動更精準高效。過去,許多網路犯罪即服務(CaaS)組織提供全方位攻擊工具包,如網路釣魚套件與惡意軟體。然而,Fortinet預測這些組織將更專注於攻擊鏈中的某一環節,提供更專業化的服務。
趨勢二、雲端環境成攻擊新焦點:雖然邊緣設備仍是威脅者的主要目標,但雲端環境是另一個值得組織未來幾年內密切關注的攻擊面。雲端環境雖然並非新技術,但越來越多的網路犯罪者對其表現出濃厚興趣。由於大多數組織依賴多家雲端服務供應商,Fortinet觀察到攻擊者利用更多與雲端相關的漏洞,並預期此一趨勢在未來將持續增長。
趨勢三、自動化駭客工具進軍暗網市場:在當今網路犯罪即服務(CaaS)市場中,似乎有無窮的攻擊媒介、及相關程式碼可供選擇,例如網路釣魚工具包、勒索軟體即服務(Ransomware-as-a-Service)、分散式阻斷服務攻擊即服務(DDoS-as-a-Service)等。Fortinet已經看到一些網路犯罪組織以人工智慧(AI)來支持其服務,預期此一趨勢將更加蓬勃。攻擊者將利用大型語言模型(LLM)生成的自動化內容來強化其服務、擴大市場規模,例如將社群媒體偵查結果自動化,形成整合完善的網路釣魚工具包。
趨勢四、攻擊劇本「實境化」:網路犯罪者的攻擊劇本正持續改寫最佳化,使攻擊變得更具侵略性和破壞性。Fortinet預測網路犯罪者將擴大行動範圍,將網路攻擊與現實生活中的威脅結合。目前Fortinet已觀察到一些網路犯罪組織,在某些情況下對企業的高層和員工,進行涉及實體人身安全的威脅,並預估此種做法將成許多攻擊手法中的常見一環。此外,Fortinet也預測,毒品走私、人口或貨物的非法運輸等跨國犯罪將成為更常見的複雜攻擊手法之一,網路犯罪組織與跨國犯罪集團之間的合作將越來越頻繁。
趨勢五、拓展反制對手框架:面對不斷演變的威脅策略,網路安全社群也需同步進化,以應對威脅。推動全球合作、建立公私部門合作夥伴關係,以及開發應對威脅的框架,對於增強集體韌性至關重要。目前已有許多相關行動正在推進,例如由Fortinet作為創始成員之一所參與的「世界經濟論壇網路犯罪地圖(Cybercrime Atlas)」計畫。預計未來將有更多此類協作或倡議出現,以有效打擊網路犯罪。
趨勢六、防禦方能贏得平均回應時間(Mean-Time-to-Respond, MTTR)賽局:隨著機器學習(ML)與人工智慧(AI)技術的普及,防禦方戰術也正迅速提升,更有機會在與攻擊者的軍備競賽中勝出。根據Fortinet最新發現,漏洞被利用的平均時間僅有4.76天,比之前觀察到的加快了43%,因此,防禦者必須比以前反應得更快。得益於AI技術,安全團隊正加強其即時偵測、分析和回應的能力與速度。Fortinet預測將有更多組織整合AI技術至其網路安全平台,以處理大量資料、快速識別模式與異常行為,並自動化日常任務。
網路犯罪者總會找到新方法滲透組織。但透過網路安全社群之間的合作,可以更精準預測威脅者的下一步行動,並有效地中斷其行動。整個產業的共同努力、與公私部門合作的重要性不容忽視,Fortinet預期未來將有越來越多組織參與這些協作。
此外,組織也需謹記資安是每個人的責任,而不僅僅是安全和IT團隊的工作。例如,推動整個企業組織內的安全意識與訓練,也是風險管理的重要一環。最後,其他相關單位,包括從政府、到個人所仰賴的安全產品製造商,也有責任推廣、並堅實遵守資安實踐。沒有任何單一組織或安全團隊,能獨自打擊網路犯罪。透過合作與跨產業情資分享,整個生態系可以更有效地共同應對威脅者的挑戰,並全面性地保護整個社會。