預期2016年將有更多企業採納新的安全模型,例如零信任(Zero Trust),其用意是為了修補以邊界為主(Perimeter-Centric)的策略以及用來建置這項策略的傳統裝置與技術缺失。它以「永不信任、不斷驗證」作為指導原則。
面對層出不窮的網路安全威脅,資安業者Palo Alto Networks持續投入監測分析研究,以便提供更有效的防禦緩解解決方案。進入2016年,亞太地區的網路安全情勢會出現哪些變化或趨勢?以下是來自Palo Alto的最新預測與展望。
分享威脅情資
一些產業垂直鏈在威脅情資的分享上已努力多年,而我們預期亞太民營企業和安全廠商之間在2016年將建立比以往更密切的合作。今天,許多犯罪者經常只編寫一個惡意程式就將它送往多重目標組織,因為他們只需要做一些微幅的修改就可以不被偵測出來。然而,如果我們集結成一個社群,就能夠迫使網路犯罪者每次都必須建立多個獨特的攻擊,增加他們的成本負擔。而且,如果我們可以分享資訊,那麼防衛成本也會因此降低。如果我們將這個程序做到自動化,讓企業即時分享資訊以預防攻擊,則其效益將呈指數增加。一旦掌握了犯罪者的攻擊類型、他們擁有的工具以及使用的戰術,企業就能更有效地防衛其網路。
儘管對於這些規範的有效性仍持續存在爭論,不過亞洲各國政府應尋求促進威脅情資的共享,而企業則應思考如何在垂直鏈和跨垂直產業分享他們的努力成果。我們預期這個趨勢將延續,越來越多亞太企業將開始體驗此種透過知識分享以群聚力量對抗網路入侵所帶來的效益。
 |
| ▲美國最近通過了網路安全資訊分享法案(Cybersecurity Information Sharing Act,CISA),其宗旨是要協助美國公司與政府合作打擊駭客活動。 |
勒索軟體
勒索軟體將繼續發展出更強的散播與迴避技術,隱藏其本身的通訊及鎖定的攻擊目標。網路威脅聯盟(Cyber Threat Alliance)報告指出,勒索軟體對於網路犯罪者而言是一項非常誘人的手段,讓他們能夠在短期間內獲取龐大的利益。今天,信用卡資料的價值相對低於勒索軟體,因為勒索軟體讓網路犯罪者可以從更多受害者榨取更多金錢。根據網路威脅聯盟報告,CryptoWall v3背後的集團成功榨取超過3.25億美元不法利益。我們預期此種攻擊型態將跨越到其他平台,例如OS X和行動作業系統。
次受害者攻擊
我們越來越常見到的情形是,當了解一項攻擊的動機之後,發現那通常是一個次受害者(Secondary Victim)。Verizon的2015資料外洩調查報告(Data Breach Report)特別指出一些犯罪者利用第三方網站散播他們的攻擊。這通常意味著那些遭受最初攻擊的個人或企業並非真正的目標,而只是背後一項更大攻擊的馬前卒。
亞太最常見的攻擊方法是所謂的水坑攻擊(Watering Hole Attacks),亦即利用遭惡意程式碼感染的企業組織網站去嘗試感染瀏覽者。可預期這種攻擊手法將繼續攀升,在2016出現更多受害報告。
安全模型的信任
過去幾年來,網路攻擊持續攀升,變得越來越具有威脅性並且成功率很高。我們不但發現攻擊變得更容易成功且成本更低,甚至已侵蝕了整個網路體系的數位信任。信任的侵蝕也延伸到傳統安全架構的失敗,原因非僅是因為一項過時的假設——認為一個組織網路內的所有東西都是可信任的,而且也因為傳統的反制措施無法提供適當的能見度、管控與保護。我們預期將有更多企業採納新的安全模型,例如零信任(Zero Trust),其用意是為了修補以周邊為中心(Perimeter-Centric)的策略以及用來建置這項策略的傳統裝置與技術缺失。它以「永不信任、不斷驗證」作為指導原則。
這顯著不同於以「信任但需驗證」為基礎的傳統安全模型。必要安全能力的部署必須確保所有使用者、裝置、應用程式以及介於其間的通訊接受政策管控與保護,而不論他們位於任何地點。我們預期亞太在2016年將延續這個趨勢。
攻擊物聯網
全新類型的數位裝置正被連接到Internet,從家電到住家保全等。Gartner預測物聯網裝置數量將從2015年的65億台增加到2020年的近210億台,每天增加的數量達到令人咋舌的550萬台。這個成長率將在2016年繼續加快,但令人遺憾的是我們看不出有任何理由相信這些裝置不會成為網路犯罪者的目標。我們今年已看到出現此一新興趨勢的一些證據,例如攻擊汽車、智慧型步槍,以及Blackhat USA今年8月所顯示的其他更多目標。我們並不認為亞太地區在2016年會出現數百萬裝置遭攻擊的事件,但應做好準備以因應更多嘗試入侵這類裝置的攻擊和概念驗證。
網路犯罪立法
亞太地區的網路安全相關法規通常非常寬鬆。這其實是全球性的問題,全世界對於保護企業與消費者的立法仍在演進中。美國在這方面居領先地位,網路安全已成為一項政策焦點,例如美國最近通過了網路安全資訊分享法案(Cybersecurity Information Sharing Act,CISA),其宗旨是要協助美國公司與政府合作打擊駭客活動。同樣地,歐盟已立下14項措施以改善網路安全,並且訂定一項關鍵資訊基礎設施保護政策(CIIP),其目的是要藉由在國家和歐盟層級支援高層級的準備(Preparedness)、安全性與耐障礙能力(Resilience)以強化關鍵資訊通訊技術(ICT)基礎設施的安全和耐障礙性。
我們預期亞太各國政府和立法機構將有顯著的思維改變,在保護Internet和使用者上扮演更積極的角色。網路犯罪法將引起討論,而過時的網路安全標準將必須改變以促成更好的安全性。
(本文作者現任Palo Alto Networks亞太區副總裁暨安全長)