賽門鐵克及諾頓2015年亞太及日本區資安預測
資安分析師稱之為2013「超級洩密年」,然而2014年出現的嚴重漏洞如Heartbleed和Shellshock證明了資訊安全組織永遠不能固步自封。
所有的跡象都表明,2015年將發生更多相類似的事件,那些希望製作新威脅和利用漏洞的一方與那些希望防止它們的一方之間的對立將會加劇。物聯網的進步亦意味著消費者的設備、裝置及機器互聯的程度有所提升-全新的潛在安全風險將會接踵而來。
物聯網會否帶來新一浪的安全攻擊?隨著不同國家規劃自己的智能國家大計,大數據將擔當什麼的角色?流動安全方面的發展又會如何?
賽門鐵克及諾頓亞太及日本區的2015年安全預測探討將影響該地區的個人消費者、企業和政府的議題:
- 對物聯網(Internet of Things)的攻擊將針對智能家居自動化:隨著智能家居自動化在亞太和日本區的消費者之間日益普及,賽門鐵克預計商品化的「即插即用」消費設備,如閉路電視攝錄機和遠程存取控制警報、照明和溫度控制會被網絡罪犯所利用。
嵌入式和小型設備持續普及,但遺憾的是大多設備都沒有考慮其網絡安全性。這些設備往往具有有限的記憶體和系統資源,計算能力及不上典型的桌上電腦。
顯然,搜索引擎,可以讓人們於網上搜索具互聯網功能的設備,從監控攝像頭、汽車、家用暖氣系統等。雖然搜索引擎不會洩露漏洞,但它使物聯網設備更容易被發現,讓網絡罪犯加以針對和利用。例如,最近有新聞指一個相信來自俄羅斯的網站Insecam.com正向全球播放來自IP攝影機的影像。
換言之,我們將不會看到利用物聯網發動的大規模攻擊,反而會是向連接的設備發動的一次性攻擊,如家用路由器、智能電視和連接私家車的應用程式,以企圖獲得敏感和私人資料。
- 行動裝置將成爲更具吸引力的攻擊目標:行動裝置將繼續是黑客的目標,尤其是行動裝置存有大量私人和機密資料,並長期開啟,容易讓黑客有機可乘。
隨著行動網絡營運商和零售商改爲使用行動付款,行動裝置的價值將持續提升。Apple Pay解決了某些導致POS(銷售點資訊管理系統)受攻擊的漏洞。然而,我們不能掉以輕心,因爲遇上某個攻擊的途徑被封鎖,駭客通常會找出其他弱點下手。若Apple Pay被廣泛採用,黑客有機會積極挑戰NFC(近場通訊)付款技術的安全。
- 機器學習(Machine Learning)將改變打擊網絡罪案的遊戲規則:機器學習和大數據的結合正孕育出新一代的商業平台,這將改變網絡安全的遊戲規則。機器學習是一種深度學習的形式,可算是人工智能的第一步。面對這些威脅時必須主動採取行動。機器學習將幫助安全廠商比犯罪分子領先一步。機器學習具能力預測網絡攻擊,有助提高偵測率,極可能成為逆轉網絡罪案趨勢的關鍵。
- 行動應用程式將繼續犧牲私隱:我們認為某部分手機用戶將繼續在使用行動應用程式時,同時犧牲他們的私隱。雖然很多網民都不願意在網上分享銀行和個人識別資料,一部分人卻願意分享自己的身處的位置、流動設備的電池壽命,以及照片、聯絡人和健身資料,為求使用該行動應用程式。此外,許多消費者在下載應用程式時,沒有充分了解他們的授權內容。例如,諾頓有研究指出,雖然千禧一代認為他們知道他們允許應用程式存取哪些資料,但事實上卻剛相反。
- 騙徒將繼續以勒索惡意軟件圖利:根據賽門鐵克互聯網安全威脅報告數字,2013後半年勒索軟件(Ransomware)攻擊的個案增長達500%以及更為凶狠。這個攻擊增長源於Ransomcrypt(亦名為Cryptolocker)的成功。這尤具侵略性的勒索方式單在10月就佔所有勒索軟件攻擊個案的55%。其攻擊方式為把用戶的檔案加密,要求他們支付贖金解密。其他共享或連接網絡的檔案可同樣被加密,對商業機構造成更大的傷害。以加密檔案進行勒索並非新鮮事,但支付贖金過去對騙徒亦構成問題。
不過,近期勒索軟件製造者開始利用網上和電子付款系統,如Bitcoins、Webmoney、Ukash及greendot(MoneyPak)以解決這個問題。騙徒看中電子付款相對匿名、方便並隨時可用,增加企業和消費者被套取數據、檔案或記憶體的危機。 - 2014年高調的數據洩露個案將令網絡安全這個議題成爲2015年的焦點:由於全球互聯網和雲端基建互相連接的本質,跨界的數據流通是無可避免,必須正視。2015年,個人資料保護法的發展將邁向新一頁,尤其在亞太區,因這保護法將為人民的生活帶來重大的改變,確保個人和組織對網絡安全及網絡罪案的預防抱正確的態度。
- 分散式阻斷服務攻擊(DDoS)持續帶來威脅:2014年另一個可見的趨勢是Unix伺服器被入侵和其高頻寬被DDoS攻擊利用。黑客的動機各有不同,以黑客行動主義、圖利和糾紛為主要原因。鑒於發動大規模DDoS攻擊不難,賽門鐵克預測DDoS未來的增長趨勢將持續。被短暫而強大的DDoS攻擊針對的機會正上升。
- 保障網絡安全不單靠密碼,要從用戶行為著手:隨著密碼系統經常受網絡罪犯攻擊,資安厰商和供應商要為用戶提供他們所追求的完美體驗,在系統方便和複雜性兩者之間取得平衡是個重大的考驗。採用多重身份認證,如一次性密碼或瞳孔和指紋辨識,或者是一種替代方案,但未必是最安全的方法。真正可保護重要資料的方案是從用戶行爲著手,即是說我們自己該採取行動去防止個人網上資產和身份被盜用。
- 雲端運算將無極限:在2015年,我們預計託管在雲端的數據將越來越多,企業因而需要審視其數據管理方式,並確保他們的數據託管在雲端上之前已經整理好。沒有處理恰當的舊數據會不斷累積,為企業帶來持久挑戰。對消費者來說,雲端運算於2015年將代表無限量的個人資料被遠程託管,圍繞存取權限、控制權以及保護在雲端私人數據的辯論將繼續升級。
- 更緊密的業界合作夥伴和協作關係將強化網絡安全的前線:打擊網絡犯罪不能單憑一己之力,整個安全業界與來自世界各地的電信供應商和政府需要聯手對抗網絡犯罪案。資訊安全業為全球少數擁有一個「復仇者聯盟」的行業,會不斷努力打擊網路犯罪。這就是為什麼打擊網絡罪案需要採用另一種全新方式。
譬如,2015年攻擊者將繼續尋找新的漏洞,使他們能夠「攻破地球」。開放平台將通過提升行業協調、協作和回應,繼續應對這些漏洞。這是一個無可避免的現象, 但是賽門鐵克仍然認為開放平台終究將會在未來持續進步中。