Trend Micro：2025年资安风险报告（繁体版）.pdfVIP

趨勢科技2025年

資安風險報告

Outpacingtheadversary

「趨勢科技2025年資安風險報告」證實我們朝主動式資安轉型是正確⽅向，現在，企業資安的⼯

作重點再也不是防⽌資安事件的發⽣，⽽是搶先敵⼈⼀步，讓網路資安成為業務營運的動⼒。回顧

2024年的風險情勢，讓我們了解企業正暴露於哪些風險以及駭客有哪些⾏為，並依此建置反制措

施，將資安從挑戰變成創新及業務成⻑的催化劑。

這份報告引⽤了來⾃我們CyberRiskExposureManagement(CREM)資安曝險管理解決⽅案的

資料，這是我們TrendVisionOne™旗艦級網路資安平台的⼀環。這套解決⽅案的監測資料能發

掘整體攻擊⾯的曝險狀況，有助於判斷各項風險領域的優先次序並加以解決。此外，這份報告還結

合了來⾃我們延伸式偵測及回應(XDR)⼯具的原⽣資料及威脅情報，讓企業掌握敵⼈的相關資訊

和風險洞⾒，讓您制敵機先並降低⾃⾝的資安風險指標(CyberRiskIndex)。

資安風險指標

(CRI)

為了建立⼀套主動式網路資安⽅法，我們引⽤了我們CyberRiskExposureManagement(CREM)資安曝

險管理解決⽅案的資料，這套⽅案的設計是要藉由評估整個攻擊⾯的風險並判斷其優先次序來建置適當的反

制措施以防⽌企業數位資產遭到攻擊。

CREM能計算企業的「資安風險指標」(CyberRiskIndex，簡稱CRI)，這是藉由彙整個別資產及風險因素

的評分來將企業整體資安風險量化的⼀項指標。根據我們的研究發現，CRI⾼於平均值的企業比起CRI較低

的企業有更⼤的機率遭到攻擊。如同預防性健康檢查可以呈現⼀個⼈的整體健康狀況、分析⾝體可能暴露於

哪些風險，然後擬定⼀套⾏動計畫來防範這些風險⼀樣，CREM的⽅法也是先評估CRI然後擬定⼀套策略

來降低該指標，進⽽改善企業的資安狀況。

儘管風險評估本⾝採⽤的是「質化」的⽅法，但CRI卻是⽤⼀個0到100的數字來「量化」風險的⾼低，

讓企業或產業更明確掌握⾃⼰的資安與風險狀況。

CREM會根據風險事件⽬錄來計算每⼀種資產類型的風險評分，以及企業的風險指標分數，將資產在攻擊、

曝險與資安組態設定⽅⾯的評分，乘上資產的關鍵性。每⼀項資產的風險評分都是個別計算，且每⼀項評分

都會考量到資產的類型與關鍵性。計算結果是⼀個介於0⾄100的整數，並分成三個等級區間：

Trend2025CyberRiskReport4

•低度風險(0-30)：

-這類企業相對安全。

-⼤致上沒有必須立即採取的重⼤措施。

•中度風險(31-69)：

-這類企業有多項需要解決的風險因素。

-建議考慮並建置適當的反制措施。

•⾼度風險(70-100)：

-這類企業已暴露於嚴重的風險當中。

-有必要立即採取嚴格的資安措施來防範潛在的威脅。

請參閱我們的資安風險指標簡介以及我們的技術報告來了解風險評分的計算⽅式。

本報告的監測資料涵蓋2024年2⽉⾄12⽉這段期間，1⽉份的資料之所以被排除，是因為CREM儀表板的演

算法在1⽉底時曾經更新，其權重的加總⽅式會影響CRI的計算。⽽2024年2⽉⾄12⽉的監測資料都採⽤相

同的演算法來計算，同時也提供了較為準確的CRI平均值。未來，CREM的計算公式若有改進，我們也會適時

公布。同時也請注意，產業CRI資料並未包含樣本太⼩、因⽽在統計上無相關性的產業。

Trend2025CyberRiskReport5

資安風險

指標資料

整體平均CRI

AverageCRIfor2024:38.4

5

042.5

39.939.239.339.038.437.637