新聞

回顧2016,展望2017(下)

2016 / 12 / 20
陳啟川
回顧2016,展望2017(下)

企業應及早規劃因應IoT帶來的風險
網路安全廠商Forcepoint於今年10月所發佈先前2016所做的預測回顧中提到,對因IoT引發重大資安事件的預估,其結果持平。原因是雖然今年在行動POS系統或網路攝影機等聯網裝置上確實有出現一些攻擊入侵的事件發生,但對企業活動還未見明顯太大的衝擊,因此給予持平的評價。

儘管如此,我們還是認為,物聯網的安全問題已是必然,差的只是時間的早晚而已。就如同當年的手機病毒一樣,當時的智慧型手機尚不普及,因此用戶在手機內儲存的個人或企業資料有限;且不同家廠商有各自的系統,讓惡意程式攻擊手機的效益有限。但現在來說,手機系統大多以iOS和Android為主,平台漸趨於統一,讓惡意程式能運作在不同廠牌的行動裝置上。也由於現今手機、平板等行動裝置的功能強大,讓愈來愈多的重要用途運行在這些平台之上,相對的也就存放更多的企業與個人的機敏資料,也就吸引駭客進行攻擊。所以鑑往知來,IoT未來的發展也可能會像智慧型手機一樣,隨著應用的廣泛而成為入侵攻擊的焦點。

在此我們及早警示的目的在於提提醒企業,在開始生產或導入Iot設備時就要考慮安全問題,並及早規劃因應措施,因為此時所需負擔的成本最少。否則一旦推出有漏洞的IoT產品,或因IoT裝置引發資料外洩的情況,不但要承擔後續更新維護的代價,對企業所造成的商譽損失更是難以估計。

APT將使企業落實縱深防禦的概念
APT攻擊已經是這幾年相當熱門的攻擊趨勢,我們無需多加贅述,這邊我們想討論的是APT所帶來的影響。因應APT的複合式攻擊手法,許多資安廠商也紛紛整合自己旗下(或併購其他公司)的產品推出針對APT威脅的解決方案。這類解決方案大多是由多種產品組合,從事前的偵測攔阻、事中的攻擊分析,與事後的調查回應,以這三大機制來構成一個完整循環的威脅處理流程。

這也表示隨著網路雲端、行動裝置等各種IT應用的出現,以往想將攻擊威脅直接阻絕在外的防堵策略已無法奏效。我們必需假設當惡意程式入侵企業內部時該如何因應?因此企業必需思考部署第二、第三道防線,當攻擊進入企業內部,開始進行後續的滲透破壞活動時,如何藉由這些蛛絲馬跡的關聯分析來發現惡意活動,並予以阻擋,再將此結果回饋給部署在第一線的閘道裝置上,讓下次遇到相同的攻擊時能馬上辨識並加以攔阻。

其實這些就是縱深防禦的概念,而建立多層次的安全架構已經談論許久,但實際做到的企業實在不多。尤其像擔任事故還原分析的調查鑑識工具,使用這類產品的技術門檻通常較高,以往通常僅限少數有特殊需求的單位機構才會導入。但現在拜APT興起之賜,調查分析工具已成為APT解決方案的重要元件之一,這也讓企業縱深防禦的概念得以落實。

服務比重提高成國內業者的機會
APT的盛行可能對資安產品與服務產生一定影響。這類複合式的產品組合會逐漸整合簡易化,整合各個單一產品以減少管理維運的人力負擔,同時應用自動化分析來降低人員操作上的技術門檻。另外,APT解決方案的導入,可能面臨與既有設備整合,或按不同客戶所發生的威脅情況進行評估,這些都有賴專業資安顧問的介入。也就是說過往台灣企業習慣在以產品為主的採購方式裡,未來在服務質量的比重有機會增加,相較國外知名大廠,如果國內業者能提供專業且在地化的客制服務,勢必成為未來的競爭優勢。

資安市場長期趨向成長
網路安全市調機構CybersecurityVentures預估2017到2021,五年內全球網路安全上的花費將高達1兆元;而Juniper的研究報告則指出到2019年,企業因網路犯罪所產生的成本將超過2兆;微軟CEO Satya Nadella提到在2015年,網路犯罪對企業造成的市值減損就有3兆。這些數字都顯示網路安全問題對企業可能帶來的龐大財務損失。

不過企業的危機也是資安廠商的商機,Cybersecurity Ventures預測到2021年,全球網路資安花費的年成長率會高達12%-15%。這樣的數字並不誇張,IBM安全部門所公布2016第一季營收的年增率為18%,而Cisco在資安營收上也有17%的成長表現。即便在台灣,據MIC所發表的產業觀測中指出,預計台灣資安市場規模將以年複合成長率10.7%的速度成長,從2014年的新台幣312億元到2018年上看469億元。

這些在資安市場上的強大成長力道也會帶動專業資安人才的需求,因此賽門鐵克CEO Michael Brown認為,網路安全的人才需求到2019年預估達600萬人,並衍生出150萬的資安人才缺口,這些數據都顯示出全球資安市場長期朝正面成長的趨勢。不過在短期內,目前國內對明年的經濟成長率普遍不超過2%,再加上國際未來情勢不確定因素增加,是否會影響企業的投資意願這也是要考量的地方。

年底將至,不少機構會陸續發表對未來的趨勢分析報告,在方向上或有不同,與未來的事實也不會完全一樣。但有些只是影響程度與發生時間上的差異,裡面的內容還是值得身為資安從人員的我們參考,針對自身相關的議題需特別注意,及早擬定相關的因應對策,一旦事件真正發生時才不致手忙腳亂,而提高決策的有效性。

回顧2016,展望2017(上)