2025 威脅將更加複雜，企業該如何減少風險？

試想您公司有位行銷專員John，使用公司電腦，發布公司新聞稿及貼文，參考資料除了有放在sharepoint的產品資訊，也打算使用ChatGPT快速製作文章；同時他也接到了贊助合作來信，希望他可以回簽夥伴合約書，共同獲取客戶名單。在這段描述常見的工作流程中，就潛藏了至少三個企業可能會面臨的資安風險！

員工使用的設備真的安全嗎？

大多數企業近幾年已積極佈署端點防護與回應等EDR和MDR解決方案，但現在越來越多駭客攻擊開始鎖定設備的韌體層。像Eclypsium在2024年就曾發現聯想筆電內的韌體漏洞CVE-2024-0762，讓駭客可以直接在韌體部署惡意程序，而作用於軟體層面的解決方案根本無從偵測，只能任由駭客掌控整台筆電。 

不管是掌握企業關鍵設計圖的工程師、或是存有財務資料的公司會計，該如何確保他們使用裝置的韌體安全將是近年需要著重討論的議題。

雲端應用服務能安心授權給員工使用了嗎？

據雲端安全廠商Netskope的調查，使用者每月平均與SaaS互動近2000次，年成長率約35%，而企業中對ChatGPT等生成式AI接受度快速上升，截至2024年底有高達94%企業有採用生成式AI。下載sharepoint的公司資料並上傳到個人雲端硬碟、或是打算將這些資訊交由ChatGPT輔助產生貼文，都有可能導致這些資訊遭到外洩。而駭客利用Microsoft這個主流通用的管道降低使用者危機意識，讓Sharepoint、OneDrive和Teams也成為駭客最常用於散播木馬程式的管道。

是合作夥伴還是駭客冒名？大家能意識到自己正遭遇社交工程攻擊嗎？

Proofpoint統計，71%的企業使用者在一年內做過有資安風險的行為，「人」的弱點常常是駭客關注的目標。而在2024年已有不少釣魚攻擊顯現AI參與的跡象，Netskope更是預測2025年AI將會讓網路威脅複雜度進一步升級。藉由生成式AI（Gen AI），攻擊者能輕易跨越語言隔閡，製作高度真實的釣魚內容，模仿公司合作夥伴來誘騙員工交出帳密、詐騙匯款。甚至能要求AI繞過特定關鍵字撰寫詐騙信，不只對員工也對傳統SEG（郵件安全閘道）造成挑戰。而深偽(deepfake)等技術也能讓社交工程攻擊變得更加逼真，透過影音來加深說服力。

隨著2024年AI等多樣技術蓬勃發展，2025年企業將會面臨更多新型威脅與挑戰。在全球化的趨勢下，企業所面對的風險來源也在不斷變化，防守方策略必須隨之調整。我們除了應努力降低內部潛在的風險，也必須持續關注駭客的新手段並迅速準備對應策略，並讓公司所有員工理解公司所面臨的難處，共同努力回報系統有所遺漏的新威脅，才能在快速變化的環境中穩步前進。

大鈞科技深耕資安領域多年，致力於協助客戶評估並改善資安防線，如果您擔憂當前防護架構或資安意識的培訓可能難以應對這些風險，歡迎洽詢大鈞預約線上或是現場說明，讓我們協助您評估企業當前的安全措施。

延伸閱讀：

• 市場趨勢－讓員工與您一同為企業築起防線
• 分析報告-Proofpoint State of Phish 2024發現的四大趨勢
• AI趨勢專欄－AI助力，在數位時代降低企業攻擊面
• 市場趨勢－2024年台灣企業的全新挑戰