全球資安專家因為企業主對資安的忽視而受到多年的冷落,但情況將以驚人的速度改變。有鑑於資訊安全議題在2015年受到空前的重視,這個現象將延伸影響到今年,資安只會變得愈發重要並獲得更多關注。以下回顧去年的五大資安趨勢,並分析在2016年將發生的進一步發展。
DDoS勒索愈發普遍:2014年,我們看到全新威脅DD4BC的興起,但2015年立刻被Armada Collective取代。這兩種威脅會寄送威脅郵件要求小額比特幣贖金,否則就會強制阻斷企業的網站。威脅的成功使他們愈發猖狂,也吸引其他人仿效。在2016年類似危害無疑將持續甚至惡化,因為會有越來越多的有心人士看出DDoS勒索的潛在利益。
物聯網的危害:物聯網不僅為單一的科技或產品,而是多種科技與產品的結合,其設計與開發常忽略安全要素。各式各樣物聯網裝置蒐集的使用者資料,遠多於人們的認知,即使裝置資料受到嚴密保護,後端的服務在資安層面亦容易讓人趁虛而入。因為蒐集到的資料很有價值,所以未來因為物聯網工具或玩具而引起的威脅會增多,同時亦有越來越多蒐集個資的公司出現。
 |
| ▲從說話洋娃娃Hello Barbie與幼教遊戲機VTech等案例可知,就連各式各樣的玩具都可能成為物聯網安全性的隱憂。 |
資安不會有顯著進展:希望這個預測失準,但依據過往20年的業界經驗,這個趨勢解讀應該無誤。安全技術的進步是緩慢且漫長的,它是以數十?年為成長周期而不是數年。道高一尺魔高一丈,但業界終會慢慢找到從根本保護軟體及系統的方法。在2016年,安全防護看起來似乎會變得更糟,然實際上對企業而言卻是個轉好的徵兆,因為他們開始有能力辨識危害而不是放任攻擊發生。
政府對安全將有重大的影響:中國對網路存取權限向來有嚴格限制,俄羅斯則在2014年通過法律以強制國民網路流量需留在國內且官方有權查看。美英兩國在巴黎恐攻後,就持續遊說位於矽谷的公司給予查看加密對話的權限。法國則考慮立法禁止Tor(The Onion Router,洋蔥路由器)與公共區域的Wi-Fi權限。世界各國的政府企圖強制介入透過立法規範網路,但這對私人企業或是整體網路的安全都會有巨大影響。如果不關注這波改變,則立法機關將趁隙而入,而這不是任何資安專家所樂見的。
不可預測的未知數:當我們皆對可預測之事擔憂時,不在預測範圍內的意外亦同時不停地發生。資安人員除針對已知威脅而擬定處理方針,亦要有足夠的彈性來應付未知危害。如果你的網路伺服器受到危害,你有重建對策嗎?或者更深入來說:如果遭攻擊的是AD伺服器呢?設想各種最壞的情境,擬定計畫並運用整個網路資源來解決。或許聽起來似乎有些極端,但Sony和美國OPM就是例子,或許其他企業亦有相同經歷只是不為人知。
(本文作者現任Akamai資深安全顧問)