資安長的轉型時刻：從漏洞追逐到人為風險管理

隨著資安事件的規模與速度不斷擴大，企業資安防線面臨前所未有的壓力。然而，根據 Dune Security 於2025年發佈的《CISO風險情報調查》，超過九成的資安事件源自使用者行為，而非技術漏洞。這項調查揭示了一個關鍵事實：人，仍是資安防禦中最脆弱的一環。

攻擊手法轉向：超越電子郵件的社交工程

雖然幾乎所有受訪企業都進行電子郵件釣魚模擬，但攻擊者早已將目標擴展至企業較少監控的通訊管道，包括加密訊息應用程式（如 WhatsApp、Signal）、簡訊、語音通話與協作平台（如 Slack、Teams）。調查顯示，64% 的企業在過去一年內曾遭遇透過這些非正式通道發動的社交工程攻擊。
Dune Security 執行長 David DellaPelle 指出：「攻擊者正利用企業防禦的盲點。傳統的資安意識訓練（SAT）仍停留在過去的電子郵件威脅，而真正的攻擊已轉向高信任、低可見度的通道，例如加密訊息、語音通話與深偽技術（deepfake）冒充。」
這些新型攻擊手法能輕易繞過技術防線，直接針對人性弱點下手。假冒主管的 Teams 訊息、偽裝 IT 支援的 Slack 對話、或是緊急語音通話，都可能成為駭客滲透企業的入口。

模擬與訓練的落差：個人化不足導致防禦失效

儘管多數企業進行釣魚測試，僅有18%會根據使用者角色與行為進行個人化模擬。這與91% 的 CISO 認為應該進行個人化訓練的觀點形成強烈對比。缺乏針對性的訓練，讓使用者在面對 AI 生成、模仿語氣與工作流程的釣魚訊息時，更容易受騙。
調查中的行為模擬數據顯示，AI 個人化的釣魚郵件比傳統模板高出三倍的使用者互動率。更令人憂心的是，點擊者中有30%進一步提交了多重驗證（MFA）憑證，顯示一旦信任建立，攻擊可迅速深入。儘管電子郵件測試普遍進行，僅有26% 的 CISO對員工在真實情境中辨識釣魚攻擊的能力有高度信心。

內部威脅的重新定義：不只是惡意員工

調查也揭示了內部風險的範疇正在擴大。除了傳統的惡意員工外，遭操控或疏忽的使用者也成為主要風險來源。駭客傾向利用未受監控的應用程式施加壓力，操控員工成為滲透點。許多資安主管坦言，對於處理內部威脅仍感不足，尤其在行動裝置、協作工具與加密訊息方面缺乏監控與演練。這些盲點讓內部攻擊往往在事後才被察覺，造成重大損失。

執行困難重重：問題不在認知，而在資源與工具

資安主管普遍認同人為風險的重要性，僅6%認為缺乏高層支持是障礙。真正的挑戰在於執行層面，包括：

• 難以衡量使用者層級的風險；
• 缺乏足夠人力資源；
• 依賴過時的訓練平台，無法反映真實攻擊情境。

36% 的 CISO 將風險衡量列為首要障礙，另有三分之一指出資源不足。僅12% 的受訪者認為現有的資安意識訓練足夠，超過三分之一則明確表示不滿。

CISO的角色轉型與人本資安的未來

這份報告清楚指出，CISO的角色正從技術防禦者轉型為人本風險管理者。在 AI 驅動的社交工程與多通道攻擊日益猖獗的時代，企業若仍停留在傳統漏洞掃描與電子郵件防禦，將無法應對真正的威脅。未來的資安策略，必須以人為核心，結合個人化模擬、行為分析與跨通道監控，才能建立真正具韌性的防線。CISO不再只是技術專家，更是組織文化與信任的守門人。

資料來源：https://www.helpnetsecurity.com/2025/09/10/ciso-human-centric-risk/