資訊處理推進機構(IPA)發布了《資訊安全十大威脅2025》,分析了2024年發生的重大網路安全事件,提供了全面的威脅資訊和對策以及對應表。
本報告通過由約200名成員組成的「十大威脅選考會」進行審議和投票編制,成員包括資訊安全研究人員和企業實務負責人。組織威脅如以往採用排名形式列出,而個人威脅則按五十音順序呈現,以防止優先應對高排名威脅而忽視低排名威脅,確保所有相關威脅都得到適當關注。
確定的主要組織威脅包括:
- 針對關鍵基礎設施的勒索軟體攻擊
- 通過第三方供應商的供應鏈攻擊
- 來自國家行為者的高級持續威脅(APT)
- 雲端服務漏洞和配置錯誤
- 內部威脅和權限升級
對應表提供了特定威脅與建議對策之間的詳細關聯,使組織能夠制定全面的安全戰略。報告強調網路威脅的演變性質以及持續調整安全措施的必要性。