這篇文章整理得很好,列了各大資安公司的資安預報、以及網路文章的資安預測。
於是我也花了點時間看了一些預報,並且整理跟「雲端技術」、「企業策略」和「人」比較相關的部分,在這篇分享給大家。
我目前總共看了 18 篇的預報和文章,有興趣看原文的人可以點下面這些連結:
- Trend Micro
- FireEye
- WatchGuard
- Forcepoint
- McAfee
- Kaspersky labs
- Sophos
- Check Point
- RSA Security (A Division of Dell)
- Beyond Trust
- Fortinet
- Experian
- Gartner (article from e27.co)
- Forrester
- Forbes
- Imperva
- Bitdefender
- Bugcrowd
裡面涵蓋的資安內容很多樣,這篇文章挑選了其中三個主題跟大家分享:
- 從「人」下手的資安攻擊
- 持續擴大的戰場:「雲端」攻防
- 「企業」策略與防禦之道
從「人」下手的資安攻擊
AI 技術結合詐騙
「詐騙」雖然不算是新型的攻擊,但新的詐騙手法卻層出不窮,而且還越來越有創意。近年 AI 盛行,在 2020 年將會持續發展一種詐騙手法:Deepfake。
在今年中就曾發生過模仿公司 CEO 的聲音詐騙將近 24 萬美元的事件。手法是收集目標人物的公開影片或音訊,利用 AI 對聲音進行學習並且假冒。
而在資安預測中,在 2020 年的詐騙將不只是假冒聲音而已:
像是假冒信件格式來欺騙企業進行轉帳,利用 Deepfake 來增加信件的真實感。
或像是攻擊者利用 Deepfake 偽造一個幾乎跟受害者一模一樣的影片,受害者可能會在當時的情緒慌亂下,決定付錢來避免影片被公開。
甚至 Forcepoint 還預測將會出現更多「Deepfake 即服務(Deepfakes-As-A-Service)」導致更多詐騙事件。
Deepfake 幾乎是每篇資安預報中都會出現的關鍵字,Forrester 還預測了 Deepfakes 將會讓企業損失超過兩億美元,其攻擊威力不容小覷。
AI 防禦與辨識
Deepfake 利用個人的身份來做勒索和詐騙,但其實還是有辨識方法。
像 Experian 提到可以透過觀察 Deepfake 影片的臉部模糊度、不規則的眨眼頻率(Deepfake 影片的人幾乎不眨眼)來辨識。
在資安上,AI 就像一把雙面刃,儘管 Deepfake 詐騙盛行,但也有資安公司致力使用 AI 來進行詐騙分析、優化防禦策略並且用 AI 來防禦資安威脅。
而也許我們沒有像 CEO 一樣有 24 萬美金可以被詐騙,但在幾年前你一定聽過一個讓人心惶惶的東西:勒索軟體。
勒索軟體將面向「物聯網」以及「雲端」
勒索軟體將不再只是將電腦資料加密獲取贖金,也開始朝家中物聯網下手。
因為目前的物聯網還是比較著重在使用性,安全性問題容易被放在較後面的順位,這也導致攻擊者可以趁機進行滲透和勒索。
在物聯網安全中,攻擊者不只可以竊取家中資料進而勒索,還可以錄音並且藉由 Deepfake,搭配竊聽到的資訊進行以假亂真的詐騙。
而面對勒索,以前我們的資料都存在電腦,但為了避免勒索軟體的攻擊,我們都會在雲端上進行備份。企業也是如此,越來越多企業都將資料放在雲端,但這也成了攻擊者的下一個目標。
如 WatchGuard 預測,在 2020 年,勒索軟體將會對雲端儲存服務、儲存空間等這些「避風港」下手並且擊潰。
持續擴大的戰場:「雲端」攻防
雲端威脅的成長
就像前面提到勒索軟體也開始將目標轉向雲端,企業不得不開始重新檢視雲端的安全性問題。
像是在今年的 ISC2 雲端資安報告中寫道,最關注的雲端安全問題是「資料的遺失和洩漏」。
其中還有不適當的權限控管造成的未授權訪問、不安全的 API 介面以及雲端錯誤配置等。
就像 Beyond Trust 預測道,雲端的威脅將會持續增加,面對雲端的資安產品,在五年內甚至會有三倍的成長。
雲端錯誤配置(Misconfiguration)
不過在 FireEye 的預測中提到,目前提供的雲端服務其實已經相當安全,但問題是攻擊者根本不在乎,他們會不斷環繞四周直到找到繞過防禦的方法。
此外,FireEye 也發現大量的雲端錯誤配置,網站安全問題和金鑰洩漏等等,林林總總的弱點加在一起,就有可能讓攻擊者成功入侵。
同樣 Sophos 也認為大多數的資安事件成因都是錯誤配置所造成,雖然不是故意造成,但一個小失誤可能就會導致嚴重的破壞,且雲端也因為缺乏可見性而導致配置問題和容易模糊防禦的焦點。
Trend Micro 也提到錯誤的配置和不安全的第三方程式,將會加劇雲端服務的風險,這也衍伸出了供應鏈的安全議題。
供應鏈安全
現在的程式開發為了降低成本、提高程式碼提交的速度,使用了大量的第三方相依性套件和框架。但在 2020 年,這些套件將會成為惡意軟體寄生和攻擊的目標。
不只是 Trend Micro 提到雲端服務將會因為第三方套件成為「程式碼注入攻擊」的犧牲者。
Beyond Trust 還提到駭客將會利用「自動更新套件」,來讓使用者更新到惡意的軟體,持續感染使用者的服務。
這些攻擊手法是利用中間人攻擊、DNS 欺騙或是竊取開發帳號金鑰等方式,來感染雲端服務並且自動更新惡意套件而不被發現。
這也呼應到 Kaspersky labs 提到的栽贓行動(False flag attacks),攻擊者可以利用一些開源的套件或是其他開發者的身份,來設立錯誤的線索,讓攻擊者可以更不被發現,甚至栽贓給其他開發者。
「企業」策略與防禦之道
除了面對 AI 詐騙和雲端上的攻擊,企業內部資安也是持續需要重視的一環。
對人的策略
「竊取員工身份」的資安威脅也持續不斷增加,攻擊者除了直接攻擊雲端服務外,也趨向先入侵員工帳號,接著橫向移動來入侵其他服務,並且竊取更多有用的資產或取得更多高級權限的帳號。
儘管有足夠的身份驗證,但弱密碼、權限配置問題層出不窮,「身份管理(IAM,Identity and Access Management)」也是在 2020 會被持續關注的議題。
其中另一個跟身份驗證有關的預測,就是「無密碼」的機制,藉由硬體輔助或生物辨識來加強驗證的安全。
身份管理和無密碼機制,也是在 2020 中預測的 Zero Trust 其中一環,從「由外向內」(從外部研究攻擊者如何滲透內部)轉變成「由內而外」(從內部就開始做起,不論是使用者個人、移動設備或雲端服務),幾乎不再預設任何的信任。
資安疲勞
但在企業內部實踐資安,其實要十分小心「資安疲勞」的問題。
隨著 GDPR 和各式資安法規上路,「合規」在企業的業務中也開始佔了一席之地。在 2020 年新的攻擊手法層出不窮、軟體發展如此快速的情況下,合規的疲勞也將在資安人員中蔓延開來。
而問題不僅是內部資安人員身心疲憊,在企業需要更多資安人員來處理合規、以及面臨到的新型威脅,我們仍沒有足夠的資安人才來幫忙。
就像 WatchGuard 表示 2018 年仍有將近三百萬個資安職缺,且資安攻守兩方的資安技能落差將會越差越大。
WatchGuard 也表示不管是因為防禦方「缺乏適當的資安培育課程」或是「厭倦了總是吃力不討好的工作」所造成人才短缺,WatchGuard 預計 2020 年資安技能差距將會再增加 15% 以上。
開發策略與企業文化
而對於開發策略上,以前企業對雲端安全的了解較少,由於傳統的安全措施會抑制業務和開發敏捷性,因此對於雲端部署而言,安全性通常是事後才想到的。
面對資安無法跟上開發流程,Check Point 提到雲端的資安解決方案,需要跟敏捷性以及彈性一起發展,並且隨著 DevOps 發展出可擴展的安全服務。
RSA Security 也提到「資安左移」的概念,在開發生命週期(SDLC,Software Development Life Cycle)中導入資安測試和程式碼分析來提升安全性。
除了更早的導入資安,資安團隊也需要跟開發者妥善溝通,像是一起討論到產品的上線進度延遲、預計的開發項目等等,而非只是提到漏洞本身。
2020,下一個資安十年
2020 年的資安預測不只有這些,還有像是美國總統大選、隱私、法律、5G 等資安問題。
前面提到一系列的資安威脅,其實算是一種資訊落差和對資產的理解不足,就像 Bugcrowd 預報裡提到的:
The “unknown” is the biggest cyber threat businesses will face.
「『未知』,是企業將面臨最大的資安威脅」
也許下一個漏洞早就已經發生,而我們則是在幾個月後才會發現。
儘管「未知」會是最大的敵人,我們仍可以努力減少「未知」的事物,了解資產、減少無法掌握的環境,並且也持續的學習,縮短資安知識的落差。