這篇貼文是部落格貼文連載系列之一,當中我們會檢視 2017 年在網路安全中的明確發展趨勢及長遠的影響。
在 2016 年間,大眾會面臨比以往更多的網路安全問題。今年發生的民主黨全國大會、BitFinex、Yahoo、Dropbox、LinkedIn 以及 Verizon 等引人注目的安全入侵事件僅是所有報導中的冰山一角。
隨著 2017 年的到來,我們預計新聞中會不斷出現入侵事件。我們來看看新的一年在網路安全方面我們做的一些預測:
勢在必然
網路釣魚攻擊事件會持續增加……並且會非常有效
儘管網路釣魚攻擊已經存在許久,對於駭客們而言,它仍是非常有成效的攻擊方法。《2016 年 Verizon 資料外洩調查報告》便指出,有 30% 的網路釣魚訊息會被其目標開啟,而目標首次按下惡意附件的平均時間為 3 分 45 秒。這代表此方法不但有效,還很有用。在他們的《2016 年第 2 季網路釣魚活動趨勢報告》中,反網路釣魚工作小組 (Anti-Phishing Working Group, APWG) 在 2016 年第 2 季間觀察到 466,065 個不同的網路釣魚網站,比起 2016 年第 1 季增長了 61%。Seagate Technology、Snapchat 與 Polycom 便是在 2016 年間因受害於魚叉式網路釣魚攻擊而導致員工薪資資訊洩露的幾個例子。隨著攻擊者學會如何建造看起來更為真實的電子郵件與登陸頁面,我們只會在 2017 年看見更多這類事件。
資安組織將會開始遠離安全解決方案激增的問題,轉而投入真正的自動化當中
為了抵擋針對他們而來的惡意活動,資安營運團隊必須擁有前所未有的靈活度,這代表必須增加可見度來發現針對他們的攻擊、減少雜訊,並且透過自動化來加快反應速度。
一般而言,資安團隊必須加裝額外的安全解決方案才能因應新型威脅。由於所有組件無法互相通訊或共享知識,因而從多個安全解決方案與廠商處統合安全資源 (通常以手動進行) 往往導致管理上的失敗。資安組織會開始移轉到更具脈絡感知能力的解決方案,以及能在整個攻擊範圍共享資訊的安全平台,善加利用分析來進行自動化偵測與回應。
物聯網 (IoT) 攻擊已成現實
專家已在過去數年呼籲警示有關物聯網安全漏洞的問題,儘管已經有了相關駭客活動案例,到近期為止我們還沒看見許多大規模回報的惡意活動。這一切都在 2016 年底有了巨大變化。我們看到了由物聯網裝置殭屍網路所發動的巨大 DDoS 攻擊,而一個月後針對 Dyn 的重大攻擊事件更是導致美國與西歐部分地區的大規模網路斷線。
Gartner 預計今年全世界有 64 億台物聯網產品投入使用,而到了 2020 年這個數字預計會達到 208 億台。這麼多產品都可能成為目標。
使用簡便將會成為物聯網裝置成功的關鍵,但要求個人用戶持續進行安全性更新,便會影響用戶體驗。「喬叔叔」買了新的聯網自動調溫器後,會不會願意完成更新預設密碼的流程呢?多半不會,而這就為他的網路中其他連線產品留下了入侵的可趁之機。我預期當我們日後回顧,並將 2017 年視作物聯網攻擊事件真正開始的元年時,整個業界才會開始正視如何預防這些攻擊。
機會渺茫
勒索軟體進攻物聯網裝置
DDoS 攻擊是一方面,那麼物聯網裝置上的勒索軟體呢?勒索軟體通常是透過鎖定儲存資料的電腦,以組織的珍貴資料來威脅對方。這類攻擊通常是透過 Adobe Flash 或可執行檔等方式來進入組織當中。
物聯網裝置通常不會儲存敏感資料,而且通常沒有可以傳遞勒索訊息的介面。惡意行為者當然還是被利益所驅使,所以現今最簡單、最有效率且獲利最豐碩的方式仍然是從資料儲存處下手。但物聯網裝置中的漏洞最終會給勒索軟體威脅造成立即損害的機會,例如關閉電網或生產線等。
隨著 DDoS 攻擊事件中更多地入侵聯網裝置,其他種入侵方式自然也會逐漸跟進,然而這對惡意執行者而言是否獲利夠豐富,以至於他們願意花心力在接下來一年將這種入侵方式帶入主流,才是真正的問題。
您對物聯網安全的網路安全預測為何呢?請在評論中跟我們分享您的想法,並記得鎖定本系列的下一篇貼文,我們將會分享我們對端點安全的預測。