今年 KPMG 安侯數位智能風險顧問股份有限公司針對台灣指標產業作了一項資安調查，旨在量測企業的全面網絡風險、比較產業資安現況、讓企業配置合理資安預算及部署資安防禦策略。此項調查是參考富比士、天下、CRIF 中華徵信所的統計資料，並結合風險評估的經驗隨機挑選 50 家台灣大型企業，將它們分為 5 大產業進行。這 5 大產業分別為電腦及週邊設備製造業、通訊業、金融業、製造業及電子零組件製造業。

此次檢測採用的方式為自動化工具檢測，檢測範圍為企業的外部網際網絡風險，評估面向則是從網絡的多面向針對「隱私性」、「韌性」、「聲譽」和「安全性」作分析。

這四項又可細分為：
隱私性：SSL/TLS 強度、機密洩露、暗網分享、社群網絡、資訊揭露

韌性：攻擊面、DDoS 承受度、DNS 健康度、E-mail 安全性、網絡安全性

聲譽：品牌監控、IP 聲譽、欺詐網域、欺詐應用程式、網頁排名

安全性：數位足跡、漏洞修補管理、CDN 安全性、應用程式安全性、網頁安全性

此次調查的主要發現主要有：

1. 企業數位足跡數越多，越有可能被駭客盯上

2. 除金融業外，其他產業的網絡安全防護性等級平均在C級以下

3. 電腦及週邊設備製造業最需加強網絡防護

4. 金融防護表現最佳，但仍面臨高度挑戰

5. 提升網絡安全將顯著降低財損風險

關於企業的曝險，KPMG 透過上述 20 項技術指標來看企業面對的風險程度。根據他們本次的調查結果顯示，漏洞修補管理是整體檢測分數最低（58.58分）的項目，其中，有超過三成（35％）企業不及格，更有四分之一（24％）的受測企業在這個項目拿零分。雖然有不少企業成績很差，卻仍有4家（8％）企業得到滿分，這也顯示出，漏洞修補管理這項指標， 只要積極投入，就能收穫好的效果。

而在這 20 項檢測指標中，分數最低主要有 4 個項目，除了漏洞修補管理外，還包括品牌監控、SSL/TLS 強度及資訊揭露。

漏洞修補管理
此項目是經由全網域掃描器（如：Censys, Shodan,  Zoomeye）蒐集網絡企業資產系統版本，版本號碼經轉換為相對的 CPE-ID 並與 NIST NVD 和 MITRE CVSS databases 進行關聯分析以偵測並估計未改善的弱點。而依據 Security Bouleward 調查，有 60% 的弱點攻擊事件，已存在可用之弱點修補程式卻未用。在 Dell 調查中，有 63% 的公司認為他們的資料，可能在 1 年內因硬體或晶片的安全漏洞遭到感染。KPMG 建議，企業應該重視完整的系統弱點管理程序、廣泛蒐集弱點情資、加速修補弱點及提升弱點資料庫，來提高在漏洞修補管理指標的防禦性。

品牌監控
這個項目主要為測試不法分子是否能從其他媒體管道來監控企業的網頁或是與其他品牌的外部連結事項。目前大部分受測試企業所面臨的的狀況為企業域名遭搶注被劫持；商標濫用/誤用；未經授權的社群媒體帳戶；惡意或未授權的應用程式；錯誤/有問題的機密聲明關係；工作場所的負面評論；員工的不當行為，以及公司郵件帳戶的可疑使用。誤植域名帶來的潛在風險，除了流量點擊帶來的金流外，更大的風險則在於，對方可以透過釣魚手法騙取使用者的帳號密碼，也可以在使用者的裝置安裝惡意程式或廣告軟體，甚至用來傳播網路色情或者是作為發動 DDoS 的傀儡網路。這些潛在風險，對於企業品牌經營，都有很大的負面影響。對此 KPMG 建議，企業應多關注如 Google 或其他社群媒體的評論，監控與自身相關之網域與商標的運用狀況，並部署完整的網域保護方案來改善這個情形。

SSL/TLS 強度
此項檢測主要為檢測SSL/TLS的安全性，識別其加密套件、協定細節、HSTS 和 PFS。目前企業遭遇的狀況為新興加密協定造成處理SSL/TLS 流量時所需的效能增加，導致企業現有的設備無法負荷，或是允許未經檢查的流量進入內部網絡。KPMG建議企業應謹慎使用多網域/多域名（SAN）憑證，並注意最新憑證使用限制，對外網站的 TLS/SSL 應使用自動化更新機制，最後則是強度合宜的加密演算法。

資訊揭露
資訊揭露是檢查企業是否有錯誤的配置或公開的資產，導致其 IP 位置、email、版本號及 WHOIS 的記錄存在於網絡。而目前企業所面臨的風險時在公開的內容中暴露過多內部資訊，如用戶偶爾能在開發環境中看到開發人員的註解；網站配置不安全，如沒關掉除錯及偵錯功能；應用程式上的設計缺陷。使得惡意人士能夠透過列舉法取得敏感資料。對此 KPMG 建議網站開發者應充分了解自家企業的敏感資訊，並且盡可能地使用一般錯誤訊息，不向攻擊者透漏過多線索。最後，若企業使用的是開放或是雲端的開發環境，應限制除錯、診斷功能，或避免使用真實環境之組態進行測試。

最後，這項調查也分析台灣 50 家大型企業最常遇到的五大漏洞。KPMG 安侯數位智能風險董事總經理謝昀澤表示，遠端程式碼執行（RCE）漏洞和權限提升漏洞，是對企業造成最大危害的漏洞類型。

謝昀澤指出，這5大漏洞裡，有 2 個是遠端程式碼執行漏洞，有 3 個是權限提升漏洞。而調查報告中排名第一的漏洞是 CVE-2020-11984，這是 Apache 網路伺服器版本 2.4.32 版本升級 2.4.44 版本當中，在「mod_uwsgi」模組，出現緩衝區溢位造成的遠端程式碼執行漏洞，這個弱點可以讓駭客取得並修改敏感資料。

另一個遠端程式碼執行漏洞，則是排名第五的 CVE-2020-1520，主要是 Windows 字體驅動程序存在一個遠端程式碼執行漏洞，在記憶體內部若進行不當處理時，駭客可以藉此在受害者電腦執行惡意程式。

另外三個屬於權限提升漏洞。第二名的 CVE-2020-1529，是 Windows圖形裝置介面（GDI）的漏洞，當 GDI 處理記憶體中物件的方式，存在權限提升的漏洞，駭客登入系統後，可能執行任意程式碼並安裝程式，也可檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。

第三名漏洞則是 CVE-2020-1579，是 Windows Function Discovery SSDP 的漏洞。Windows 功能探索 SSDP 提供者無法正確處理記憶體時，可能會出現權限提高的漏洞，如果駭客要利用這個漏洞，必須先取得受害者電腦執行程式的權限，然後，駭客就可以執行惡意程式以提高權限。

排名第四的漏洞是 CVE-2020-1584，屬於 Windows dnsrslvr.dll 的漏洞，而 dnsrslvr.dll 是一種動態連結程式庫（DLL）檔案， 儲存要跟進的 EXE 執行檔案適用的資訊和指令，這個漏洞是 dnsrslvr.dll 處理內記憶體時所存在權限提升的漏洞。

參考資料：
tw-kpmg-cyber-risk-report-2021.pdf (assets.kpmg)
https://www.ithome.com.tw/security