時光飛逝,又來到了歲末年終,2013年發生了那些重大的資安事件?該注意那些重大的科技發展?外在環境、法規要求又有那些新變化?且讓我們一同找出端倪,展望2014年該注意的重要資訊安全趨勢。
1.數位科技帶來新攻擊
首先,網路攻擊事件仍很頻繁,木馬、惡意程式、網路釣魚…。2013年數位科技已廣泛且深入的進入到人們生活中,「數位生活方式」使得人們的生活與網際網路的連結越來越緊密,而新技術則提供了新的攻擊管道。除了個人電腦、平板電腦或智慧型手機等,其他具備網際網路連線能力的裝置,例如連網電視,若並非以安全性為最高設計考量,很容易就被有心駭客入侵。
賽門鐵克發佈了2014年資訊安全與管理趨勢的十大預測,其中認為現今人們過分依賴和相信網路應用程式。在2013年,有一個行動應用程式App,它能夠為你在Instagram上的分享文章獲得更多的「讚」,為此你只需向俄羅斯的某些人交出你的登錄名稱和密碼,然而有超過十萬人認為這麼做沒有任何問題。2014年,會有更多不法之徒利用人們這種普遍的心理,為非作歹。
對企業而言,必須注意科技帶來的競爭優勢以及相對的威脅。在Fortinet全球暨台灣資安調查報告中指出,Y世代違反公司資安規定潛在可能性增加,包括攜帶自有設備,使用個人雲端硬碟或其它新科技,例如智慧手錶、Google眼鏡或連網汽車等。可能會違反公司規定使用個人資訊設備的比例,增加42%,從去年的36%增加至今年的51%。
Y世代違反公司規定使用個人資訊設備的比例增加42%
Fortinet的全球暨台灣資安調查報告顯示,Y世代的科技設備已成為網路犯罪的受害者、他們的資安素養不足,以及將公司資產儲存在個人雲端帳號的普遍現象。
※89%(台灣為97%)的受訪者都至少有一個雲端硬碟帳號,38%(台灣為42%)擁有DropBox帳號;
※70%(台灣為75%)的受訪者會將個人帳號用於工作目的;
圖1 因工作所需使用個人雲端服務的狀況 (圖片來源Fortinet提供)
※在所有樣本中,12%(台灣為10%)承認會用這些帳號儲存工作密碼、16%(台灣為9%)會儲存財務資料、22%(台灣為12%)會儲存個人資料如合約或企劃書,近1/3(33%,台灣則為30%)則會儲存客戶資料。
※只有13%(台灣9%)有個人雲端帳戶者沒有在帳戶中儲存與工作相關的資料;
圖2 企業資料的洩露 (圖片來源Fortinet提供)
※將近1/3(32%,台灣僅為18%)的雲端硬碟使用者完全信任雲端儲存個人資料的安全性,僅有6%(台灣為4%)認為不安全,不會使用它儲存任何資料。
圖3 雲端服務的信任程度 (圖片來源Fortinet提供)
※資安素養確實有需要,因為攻擊真實存在。在問及資訊設備是否曾遭入侵和所產生的影響時,超過59%(台灣為70%)的受訪者表示個人電腦或筆電曾遭攻擊,威脅攻擊在智慧型手機上較少見(僅有19%,台灣僅有15%);
※值得擔憂的是,14%的受訪者表示,自己攜帶的設備若因工作而遭攻擊入侵,他們並不會通知雇主,台灣則為16%。
※詢問特定的威脅如APT、DDoS、殭屍網路和Pharming(網址嫁接)等,而完全不了解的高達52%。
圖4資安素養程度
這意味著IT部門能進一步提供網路威脅和其影響的教育活動。台灣Fortinet總經理陳鴻翔表示:「今年Fortinet資安調查所揭露的,正是企業組織在制定BYOD、雲端應用和未來各種連網技術資安規範所遭遇的問題。這項研究顯示當涉及企業資料的存放位置,以及如何被存取的問題時,資訊經理人所面對的更大挑戰。現今,資安情報的需求更勝以往,必須建置在網路層,才能以設備、使用的應用程式和位置,來管控使用者的行為。」
2.「物聯網」資安新挑戰
隨著可穿戴裝置的流行,2014年,將看到越來越多的事物變得更加智慧。網路上連接著數百萬種設備,在很多情況下,這些裝置運行著嵌入式操作系統,可能會吸引駭客研究並攻擊。資安研究人員已經證實了針對智慧電視、醫療設備和監控攝影機的攻擊,也曾經見到嬰兒監視器被網路駭客攻擊;在以色列,一條主隧道的交通被駭客切斷,據報導,兩起攻擊事件均是駭客通過監控攝影系統進入電腦系統造成。
對小型網路應用程式的公司來說,甚至沒有意識到他們即將面臨的資安問題。這些嵌入式系統不僅容易受到攻擊,而且缺乏發現漏洞並及時通知用戶和企業的途徑,而且他們缺乏簡易的終端用戶操作方案來修復這些新的漏洞。因此,物聯網時代,建議企業在採用更多樣化網路應用服務的同時,佈署有效的安全解決方案,同樣地,消費者也需要相應地提升資安意識。在新的平台與通訊管道下,如NFC、4G LTE等均會有新的應用以及伴隨的資安挑戰。
3.App將改變社會,行動安全也是
愛立信旗下消費者行為研究室(ConsumerLab)發布「消費者洞察報告」,揭示2014年最熱門的10大科技消費趨勢,報告指出App的應用將擴及消費、醫療、餐飲、通訊、娛樂、交通等各個領域,人們對於行動服務的需求大幅成長,3年內人們生活的各個面向預料都將出現改變。在行動裝置安全上有以下幾個重點發展:
Android惡意軟體擴展至工業控制系統和物聯網
隨著手機銷售量將於未來幾年趨緩,Android開發商正為Google作業系統尋找尚未開發的市場,包括平板電腦、可攜式遊戲機、穿戴裝置、家用自動化設備及工業控制系統(ICS/SCADA)。這些平台,將會吸引網絡犯罪份子,包括控制我們用電、冰箱溫度等等的新型家用自動化設備,有些設備甚至能透過遠端登入控制台來顯示或確認某段時間有誰在家。這勢必會為網路犯罪份子提供全新的邪念,例如何時及如何搜括某人的家。在賽門鐵克發佈的安全鑑識報告中指出,37%的手機惡意軟體會追蹤用戶訊息,比2012年增多了15%,其中22%的手機惡意軟體存在後門軟體、下載器等傳統威脅。
人們願意為方便放棄部分隱私
調查顯示有56%的人在意網路隱私議題,然而只有4%的人願意減少上網時間。意味著,雖然不情願,但人們為了生活上的便利,還是會願意犧牲部分隱私。人們將開始採取更積極的作為來保護個人訊息。隱私問題在2013年的新聞頭條中隨處可見,這為大眾消費者和企業敲響了警鐘:我們共享了大量的個人資訊,而每天都有人在收集這些資訊,可能是你的醫生,房產顧問,也可能是社群網路。將來,你有望看到隱私保護成為新產品和現有產品的一個「功能」。
生物識別驗證將會增加
當行動載具、應用程式不斷成長,密碼已經多到難以管理,人們將愈來愈厭煩於記住密碼。以指紋等身體特徵取代數字密碼的趨勢可望興起。「如何證明你是你自己?」這個看似很奇怪的問題已經在網路世界中引發討論。在2014年可以預計會看到更多更複雜的身分認證形式。目前來看,多條件的身份認證將成為主流,密碼將不再成為驗證身分的唯一形式。
蘋果電腦在今年發佈的iPhone 5s中,採用了指紋辦識。儘管推出後幾天就被破解,但大眾開始討論雙重驗證的重要性,瞭解單一密碼驗證已經過時。因此,可預期明年將會有行動設備製造商,將在其產品中採用第二種驗證方法,其他驗證方式也會陸續出現,例如虹膜和臉部辦識。
4.網路詐騙、資料竊取和網路罪犯將不會放過任何社群網站
犯罪集團對於社群攻擊,在2013年最常見的社群詐騙方式為「假活動網頁詐騙」,主要方式為以遊戲點數等誘因,邀請社群使用者參與假活動並要求分享社群資料以竊取個資。2013年此類詐騙事件佔總體社群攻擊的87%,高出2012年的56%許多。過去,人們往往認為如果搬到一個新社區居住,那麼原來的一切麻煩都會隨之消失,但是這種情況在社群網路世界中則不會成立。因為任何吸引用戶的社群網路都會同時吸引網路詐騙者和不法之徒。如果用戶覺得這些新網站上只有他們自己及其好友,那麼他們可能會面臨巨大的意外。在此不妨讓我們給你做一個提醒:如果某些事聽起來好得令人難以置信,那麼它幾乎可以肯定是一個騙局。不管你在網路上身居何處,也不管你以何種方式連接到網路,都請使用合適的安全解決方案來保護自己。
隨著社群媒體和行動裝置持續升溫,巨量資料衝擊時代即將到來!世界上90%的資料是在過去的兩年裡創建的,許多公司也預計他們的資料將在一年內以60%到70%的增幅進行增長。IDC相關報告顯示,2020 年全球新建立和複製的資訊量已經超過 40ZB,是2012年的12倍。資訊量的飛速增長也帶來了巨量資料技術和服務市場的繁榮發展,對於資安產業來說,巨量資料的出現更加推動了資安技術朝向智慧化、工具化發展的趨勢,巨量資料是我們進行更強大的智慧分析的基礎,通過對龐大訊息的快速處理和分析,我們能夠更好的識別和發現那些複雜的資安威脅,以及他們的攻擊目標,從而為企業組織提供安全預警,幫助他們更好的抵禦這些資安威脅。
5.傳統戰場也是戰雲密布
我們發現2014年的資安問題將會超越2013年已經千穿百孔的狀況,原因是科技在持續進步的過程中,加上整體經濟環境改變,犯罪者包含外部與內部都會更大膽地賭一把。包含針對停止支援的系統攻擊將會增加,微軟將在2014年4月8日停止支援Windows XP,這意味新的漏洞將無法修復。根據NetMarketShare的調查顯示,截至2013年9月,全球仍有31.42%的電腦是執行Windows XP。Gartner則指出明年4月8日以後,預計超過15%的中大型企業仍至少有10%的Windows XP電腦。明年,預計手中握有零日攻擊漏洞的黑客,將等到4月8日之後再銷售以取得更高的價錢。因為鎖定高價銷售,這些漏洞將會被用於攻擊高價值企業和個人,而非供一般網路犯罪份子用來散佈大規模的病毒感染。
6.APT會跟著新的平台與通訊方式進化
熱門的APT議題也會跟著新的平台與通訊方式進化,例如行動裝置、社交網站以及工業控制系統等,或者新的通訊管道,最終能達成其目的,這樣的威脅已經不是透過圍堵封鎖的方式,應該思索如何更穩固地提供無機可趁的作業環境平台,讓事務可以在安全無虞的環境下運行推動。
7.犯罪集團化並針對國家及特定企業的攻擊
在賽門鐵克發佈的安全鑑識報告中,偵測到近幾年最嚴重的一起資料外洩事件,已造成1.5億用戶的個資洩露;而大部分的針對性攻擊指向員工數大於2,500人的大型企業,但員工數小於250人的中、小型企業也開始成為被攻擊對象。而對於國家與民族意識的問題,網路駭客集團也不吝於表示其主張,以挖掘機密資訊使其曝光、攻擊主要政府網站及設施做為手段,迫使國家及特定企業有所改變,這將會是在未來持續會遭遇的主要狀況之一。
總結
Sophos 全球安全研究總監 James Lyne 表示:「雖然許多安全專家都注意到高階的趨勢,但只有少數人真正看出這些趨勢的含義。我們從 2013 年學到的事,就是傳統的安全防護已經力有未逮。新出現的手法迫使產業必須調整及做出改變,而且廣泛使用的最佳實務作法也都必須重新評估。」眾多新的「連網裝置」成為家中和日常基礎設施的一份子,讓隱匿的網路犯罪份子有機會影響我們的日常生活,而不僅是如過去般竊取金融資訊。Sophos 預測網路犯罪者會將大部分重心放在高品質且幾可亂真的網路釣魚和社交網路手法,以彌補如 Windows 8.1 等作業系統漏洞越來越難突破的困境;嵌入式裝置 (如 POS 系統、醫療系統和新的智能基礎設施) 將會出現老舊的安全漏洞,因為已經在個人電腦環境中進行的修補並未在這些平台上重新實作;攻擊雲端上公司和個人資料的行為會繼續增加,服務供應商必須努力改善這些新運算平台上的安全策略。最後,針對行動裝置而來的惡意軟體將會越來越複雜,將如同個人電腦上的同類般難以對付。
在整體資安環境來看,會有更多的系統整合商與中小型企業投入,而這不一定是好事,如同廣設大學或醫療機構一樣,無法深化整體產業環境發展而可能造成品質低落的問題。在法規面向的新契機則是 PCI DSS第三版,對於支付卡相關產業的新衝擊,以及國內金融資安評估辦法、政府資安檢測等配套方案是否會為資安市場挹注新的活水,值得拭目以待。