2025/07/09

DBIR已多年提到，「人」依舊是資料外洩事件的主因。

• 2024年有高達60%的外洩事件與人有關，這包含釣魚及社交工程攻擊。

Proofpoint指出，駭客九成以上攻擊以電子郵件為媒介，且有96%員工並非缺乏資安意識只因圖方便明知故犯。雖多數企業推行資安培訓，但僅有教育還不夠，必須培養員工改變日常習慣、主動舉報可疑行為，才能補強「人」這道最脆弱的防線。

報告發現，駭客利用設備漏洞進行入侵的比例近一年增加34%，

• 特別是VPN、路由器、防火牆等邊緣設備，攻擊事件激增八倍。
• 30%已遭利用的邊緣設備漏洞仍是零日漏洞
• 僅有54%企業安裝修補程式，平均需32天完成。

漏洞經常繞過多層防線，企業應落實資產盤點、加速修補、持續監控，針對無法修補的設備制定風險管理措施。

生成式AI普及也帶來了許多內外部安全性議題。

• 內部：僅12% GenAI使用受到企業完善控管，是潛在的資料外洩管道
• 外部：駭客開始利用AI製作高擬真釣魚郵件，這類釣魚郵件已占整體惡意郵件近10%

根據Netskope統計發現，已有超過94%的企業有開始使用GenAI相關服務，生成式AI的盛行程度可能遠超大家的想像。企業除了需建立AI管理政策，防止內部敏感資訊流失，同時亦須強化偵測防禦機制，以應對AI輔助的進階攻擊。

2024年醫療資料外洩比例急遽上升，成為最主流外洩資料類型。台灣也在2025年初爆發多起醫療業資安事件，顯示此趨勢仍在擴大。
由於醫療個資不易變化且黑市價格遠高於信用卡資料，根據Magtech統計，信用卡在暗網售價最多僅售125美元，但病患健康紀錄的平均價格高達 250 美元，因此成為駭客優先鎖定的目標。
為了因應更加針對性地攻擊，醫療產業應提升防護層級，導入更強韌的威脅偵測與資料防護方案，避免僅依賴傳統防毒軟體。