2018年資訊安全的五大預測與對策

2018 / 01 / 18

IBM資安防禦團隊

12月31日，我們將對2017年蓋棺論定 - 不是因為世界重大事件、科學新發現或新流行文化的誕生，而是因為全球數據洩露和資安事件被盜的個人身份信息 (PII) 達到前所未有的驚人數量。

在此同時，快速的技術創新使各個行業的企業重新思考如何利用數位工具 (如人工智慧 (AI)，機器學習，增強和虛擬實境等) 來維運。但隨著這些變化 - 根據Gartner的「2018年戰略技術十大趨勢」，40％的公司已經在嘗試或採用人工智慧解決方案方面取得了進展 - 網路犯罪分子也將對利用漏洞的方式有全新的可能性。

2018年IBM對安全的五大預測
這些事件的結合，迫使各種規模的各類企業重新思考如何在企業內保護資訊，從過去的錯誤中汲取教訓。在我們期待新的一年有了新解決方法的同時，我們也會看到網路安全和技術的發展，以及新的威脅，將如何影響2018年。

IBM X-Force團隊中擁有安全領域尖端優秀的研究人員。我們調查了他們對2018年主要趨勢的看法，並且出現了一些獨特的觀點。以下就是2018年IBM的五大安全預測：
－人工智慧對決人工智慧
－非洲成為威脅行為者和攻擊目標的新領域
－身分危機
－勒索軟體鎖定物聯網設備
－終於把事件回應搞定

人工智慧對決人工智慧
隨著網路犯罪分子開始利用機器學習來欺騙人類行為，2018年將會出現基於人工智慧的攻擊。資訊安全行業將需要調整自己的AI工具，以更好地對付新的威脅。
隨著人工智慧軟體變得更加主流與開源，網路犯罪分子將採用人工智慧工具，不僅將他們目前的活動加速並自動化，而且為了社交工程與網路釣魚的目的，更加模仿自然行為。網路犯罪和安全創新之間的「貓捉老鼠」遊戲將迅速升級，雙方都將配備具備AI能力的武器。

非洲成為威脅行為者和攻擊目標的新領域
IBM X-Force IRIS團隊認為，隨著科技運用和營運的增長、經濟的不斷成長以及當地居民威脅行為者數量的增加，非洲在新型、有影響力的網路事件中具有最大的潛力。 2018年，非洲將成為網路威脅的新焦點領域：針對那裡的組織和來自非洲大陸的事件的攻擊預計將會上升。

身分危機
2017年被盜的20多億條記錄的數據將以前所未有的規模被使用。遏制竊取數據使用的立法將更接近現實，企業將更加遠離使用 (美國) 社會安全號碼（SSN）等標識符的方式。SSN的替代方案可能包括區塊鏈身份識別解決方案、智能身份證或電子卡、生物識別技術，或這些方法的組合。企業將轉向更安全的方法，涉及基於風險的身份驗證和行為分析。

勒索軟體鎖定物聯網設備
我們將看到勒索軟體從鎖定桌面電腦轉到攻擊物聯網 (IoT) 設備。由於詐騙者轉向大量攻擊，預計贖金會降低，並且找到一個價格點，低於用戶直接重新購買一個設備的成本。
部署IoT安全攝影機、DVR數位錄影機、感測器的大型企業或機關將受到即將到來的物聯網勒索浪潮的影響。就像最近在醫療保健行業勒索軟體攻擊的崛起一樣，網路犯罪份子將瞄準可能對運營產生不利影響的基礎設施。

終於把事件回應搞定
2018年將是我們看到某家大型公司對於大規模數據洩露或網路攻擊，展示快速和適當回應的一年，包括對公司內部與外部的利益相關方進行有效的溝通。
隨著2018年5月GDPR的實施，在歐盟 (EU) 開展業務的企業與組織將面臨更嚴格的數據保護規定，並且必須在72小時內向監管機構報告數據洩露事件，可能也需通知客戶。否則將面臨最高可以處罰2千萬歐元，或是全球營業總額的4％作為罰款。考慮到這些鉅額罰金，企業與組織將更加重視事件回應計劃 (incident response plan) 的準備，我們預期這將替洩露事件後續處理的成果帶來全面性的改善。

資安未來發展在 3C
全球資安攻擊事件層出不窮，新型態的網路攻擊日新月異，加上全球資安人才短缺日益嚴重，對企業資安整體策略帶來重大挑戰。IBM認為以下三點是關鍵方向，亦為 IBM整體安全架構發展重點：
－Cloud 雲端安全 — 利用雲端資源提供簡單、隨時可得的安全防護
－Collaboration協同合作 — 分享與善用威脅情資、分析與最佳實踐，減輕人才缺乏的壓力
－Cognitive認知運算/人工智慧 — 面對資安資料爆炸性成長與資安知識落差，運用智慧達成自動化，做出更好、更快的決策

三重防護
打造「安全免疫系統」迎向 2018！
為了協助企業建立資安關鍵的預防、偵測、回應能力，IBM提出「安全免疫系統」架構，統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊，以IBM QRadar作為核心中樞，建置資安智慧平台執行大數據分析，提供網路、使用者、資料(庫)及應用程式等活動的深度可視性，協助快速偵測威脅，並依據風險等級排列事件處理的優先順序，協助關鍵問題答案、更有效管理資安威脅。
當人生病時，人體器官能夠查覺威脅，並通過中樞神經系統發送指令，以製造白血球 / 抗體，確定優先次序並採取抵抗行動。這就是所謂的“免疫反應”。
就像人體免疫系統一樣，安全免疫系統（Security Immune System），負責在不同的領域組織各種安全功能。您可以將這些功能防禦層次想像成不同的人體器官- 所有的功能協同工作，執行定義好的安全政策並阻止威脅，並通過中樞系統（安全協調和分析）發送指令，收集信息，確定優先次序並採取行動。

「第一重」防護：智慧的安全平台：可將企業的資產與風險視覺化，同時具備即時的偵測能力，通過關聯發現正在發生的威脅，及時回應並執行。對此，IBM有一系列的產品來協助企業建立這樣的能力，最具代表性的就是IBM QRadar，它可將使用者行為與日誌事件、網路流、威脅情報、漏洞和業務脈絡情境相匹配，從而分析和預測風險。IBM QRadar在全球著名研究機構 Gartner 2017年12月最新公布的「安全資訊與事件管理力魔力象限」(Magic Quadrant for Security Information and Event Management) 報告中，再度名列「領導者 (Leader)」，這已是 IBM QRadar 連續第九年在 Gartner 的 SIEM 魔力象限獲選為領導者。

IBM QRadar 提供多項進階功能，包括使用者行為分析 (User Behavior Analytics, UBA) 、網路活動與異常檢測分析 (Network Insights)、機器學習 (Machine Learning)分析應用、認知安全 (Watson CyberSecurity)應用等。並且透過 QRadar App Exchange，大幅拓展了與第三方合作夥伴工具的整合能力。QRadar 結合 IBM X-Force 威脅情資，並納入 IBM Resilient 安全事件回應平台，將偵測與事後回應工作密切結合，提供完整的處理機制。
在網路犯罪威脅方面，因應手法多樣且複雜，運用IBM BigFix執行端點資料蒐集，用以檢查使用者是否誤觸釣魚網站，或是否有惡意程式利用漏洞進行滲透入侵；網路層方面，近年來亦增加網路封包解析能力，以提供更多層面的資料輔助分析。

在事後回應方面，IBM Resilient 提供資安事件回應與處理平台（Incident Response Platform，IRP），協助建立事件回應程序。以資安事件為導向，整合處理流程、人員、技術，執行後續回應程序，涵蓋面相當廣泛，包含合規、協調各個部門的端點進行協同防禦等方面。

「第二重」防護：安全營運中心：企業有了智慧安全平台和IT架構後，如何保證其發揮作用，安全營運就顯得至關重要。如今，網路安全的重點在於緊密的檢測和及時的相應。這是一個非常專業的領域，必須引入相關的人員、流程、安全性原則，並單獨建立安全營運中心。企業既可以自主擁有安全營運中心，也可以託管在專業的安全營運中心上。IBM在全球管理12個SOC, 同時在過去5年中，IBM已經為數十個行業的客戶建立了300多個SOC。

「第三重」防護：最新的網路威脅資訊。通過在全球運行的12個SOC， IBM會定期將這些資訊通過IBM X-Force 報告向全球公佈。同時IBM X-Force Exchange API也開放給業界，它所擁有的安全情報資料庫，也是全世界規模最大、涉及面最廣的安全性漏洞目錄之一。IBM也將與全球更多夥伴一同合作，共同展開威脅情報研究，協調處理重大網路安全事件。

2017年6月1日Cisco思科與IBM宣佈，雙方將合力應對日益增長的全球網路犯罪威脅。Cisco與IBM將在產品、服務和威脅情報領域展開密切合作。 Cisco安全解決方案將與IBM的QRadar進行整合，跨越網路、終端和雲端為企業提供支援。與此同時，客戶也能享受到IBM全球服務對Cisco產品所提供的支援，這些產品由IBM託管安全服務提供者（MSSP）提供。此外，依照協定，IBM X-Force與Cisco Talos安全研究團隊也將展開合作，共同開展威脅情報研究，協調處理重大網路安全事件。

資訊安全預測