2020 資安預測總匯－ 18 篇資安預報分析與整理

這篇文章整理得很好，列了各大資安公司的資安預報、以及網路文章的資安預測。

於是我也花了點時間看了一些預報，並且整理跟「雲端技術」、「企業策略」和「人」比較相關的部分，在這篇分享給大家。

我目前總共看了 18 篇的預報和文章，有興趣看原文的人可以點下面這些連結：

裡面涵蓋的資安內容很多樣，這篇文章挑選了其中三個主題跟大家分享：

從「人」下手的資安攻擊
持續擴大的戰場：「雲端」攻防
「企業」策略與防禦之道

從「人」下手的資安攻擊

AI 技術結合詐騙

「詐騙」雖然不算是新型的攻擊，但新的詐騙手法卻層出不窮，而且還越來越有創意。近年 AI 盛行，在 2020 年將會持續發展一種詐騙手法：Deepfake。

在今年中就曾發生過模仿公司 CEO 的聲音詐騙將近 24 萬美元的事件。手法是收集目標人物的公開影片或音訊，利用 AI 對聲音進行學習並且假冒。

而在資安預測中，在 2020 年的詐騙將不只是假冒聲音而已：

像是假冒信件格式來欺騙企業進行轉帳，利用 Deepfake 來增加信件的真實感。

或像是攻擊者利用 Deepfake 偽造一個幾乎跟受害者一模一樣的影片，受害者可能會在當時的情緒慌亂下，決定付錢來避免影片被公開。

甚至 Forcepoint 還預測將會出現更多「Deepfake 即服務（Deepfakes-As-A-Service）」導致更多詐騙事件。

Deepfake 幾乎是每篇資安預報中都會出現的關鍵字，Forrester 還預測了 Deepfakes 將會讓企業損失超過兩億美元，其攻擊威力不容小覷。

AI 防禦與辨識

Deepfake 利用個人的身份來做勒索和詐騙，但其實還是有辨識方法。

像 Experian 提到可以透過觀察 Deepfake 影片的臉部模糊度、不規則的眨眼頻率（Deepfake 影片的人幾乎不眨眼）來辨識。

在資安上，AI 就像一把雙面刃，儘管 Deepfake 詐騙盛行，但也有資安公司致力使用 AI 來進行詐騙分析、優化防禦策略並且用 AI 來防禦資安威脅。

而也許我們沒有像 CEO 一樣有 24 萬美金可以被詐騙，但在幾年前你一定聽過一個讓人心惶惶的東西：勒索軟體。

勒索軟體將面向「物聯網」以及「雲端」

勒索軟體將不再只是將電腦資料加密獲取贖金，也開始朝家中物聯網下手。

因為目前的物聯網還是比較著重在使用性，安全性問題容易被放在較後面的順位，這也導致攻擊者可以趁機進行滲透和勒索。

在物聯網安全中，攻擊者不只可以竊取家中資料進而勒索，還可以錄音並且藉由 Deepfake，搭配竊聽到的資訊進行以假亂真的詐騙。

而面對勒索，以前我們的資料都存在電腦，但為了避免勒索軟體的攻擊，我們都會在雲端上進行備份。企業也是如此，越來越多企業都將資料放在雲端，但這也成了攻擊者的下一個目標。

如 WatchGuard 預測，在 2020 年，勒索軟體將會對雲端儲存服務、儲存空間等這些「避風港」下手並且擊潰。

持續擴大的戰場：「雲端」攻防

雲端威脅的成長

就像前面提到勒索軟體也開始將目標轉向雲端，企業不得不開始重新檢視雲端的安全性問題。

像是在今年的 ISC2 雲端資安報告中寫道，最關注的雲端安全問題是「資料的遺失和洩漏」。

其中還有不適當的權限控管造成的未授權訪問、不安全的 API 介面以及雲端錯誤配置等。

就像 Beyond Trust 預測道，雲端的威脅將會持續增加，面對雲端的資安產品，在五年內甚至會有三倍的成長。

雲端錯誤配置（Misconfiguration）

不過在 FireEye 的預測中提到，目前提供的雲端服務其實已經相當安全，但問題是攻擊者根本不在乎，他們會不斷環繞四周直到找到繞過防禦的方法。

此外，FireEye 也發現大量的雲端錯誤配置，網站安全問題和金鑰洩漏等等，林林總總的弱點加在一起，就有可能讓攻擊者成功入侵。

同樣 Sophos 也認為大多數的資安事件成因都是錯誤配置所造成，雖然不是故意造成，但一個小失誤可能就會導致嚴重的破壞，且雲端也因為缺乏可見性而導致配置問題和容易模糊防禦的焦點。

Trend Micro 也提到錯誤的配置和不安全的第三方程式，將會加劇雲端服務的風險，這也衍伸出了供應鏈的安全議題。

供應鏈安全

現在的程式開發為了降低成本、提高程式碼提交的速度，使用了大量的第三方相依性套件和框架。但在 2020 年，這些套件將會成為惡意軟體寄生和攻擊的目標。

不只是 Trend Micro 提到雲端服務將會因為第三方套件成為「程式碼注入攻擊」的犧牲者。

Beyond Trust 還提到駭客將會利用「自動更新套件」，來讓使用者更新到惡意的軟體，持續感染使用者的服務。

這些攻擊手法是利用中間人攻擊、DNS 欺騙或是竊取開發帳號金鑰等方式，來感染雲端服務並且自動更新惡意套件而不被發現。

這也呼應到 Kaspersky labs 提到的栽贓行動（False flag attacks），攻擊者可以利用一些開源的套件或是其他開發者的身份，來設立錯誤的線索，讓攻擊者可以更不被發現，甚至栽贓給其他開發者。

「企業」策略與防禦之道

除了面對 AI 詐騙和雲端上的攻擊，企業內部資安也是持續需要重視的一環。

對人的策略

「竊取員工身份」的資安威脅也持續不斷增加，攻擊者除了直接攻擊雲端服務外，也趨向先入侵員工帳號，接著橫向移動來入侵其他服務，並且竊取更多有用的資產或取得更多高級權限的帳號。

儘管有足夠的身份驗證，但弱密碼、權限配置問題層出不窮，「身份管理（IAM，Identity and Access Management）」也是在 2020 會被持續關注的議題。

其中另一個跟身份驗證有關的預測，就是「無密碼」的機制，藉由硬體輔助或生物辨識來加強驗證的安全。

身份管理和無密碼機制，也是在 2020 中預測的 Zero Trust 其中一環，從「由外向內」（從外部研究攻擊者如何滲透內部）轉變成「由內而外」（從內部就開始做起，不論是使用者個人、移動設備或雲端服務），幾乎不再預設任何的信任。

資安疲勞

但在企業內部實踐資安，其實要十分小心「資安疲勞」的問題。

隨著 GDPR 和各式資安法規上路，「合規」在企業的業務中也開始佔了一席之地。在 2020 年新的攻擊手法層出不窮、軟體發展如此快速的情況下，合規的疲勞也將在資安人員中蔓延開來。

而問題不僅是內部資安人員身心疲憊，在企業需要更多資安人員來處理合規、以及面臨到的新型威脅，我們仍沒有足夠的資安人才來幫忙。

就像 WatchGuard 表示 2018 年仍有將近三百萬個資安職缺，且資安攻守兩方的資安技能落差將會越差越大。

WatchGuard 也表示不管是因為防禦方「缺乏適當的資安培育課程」或是「厭倦了總是吃力不討好的工作」所造成人才短缺，WatchGuard 預計 2020 年資安技能差距將會再增加 15% 以上。

開發策略與企業文化

而對於開發策略上，以前企業對雲端安全的了解較少，由於傳統的安全措施會抑制業務和開發敏捷性，因此對於雲端部署而言，安全性通常是事後才想到的。

面對資安無法跟上開發流程，Check Point 提到雲端的資安解決方案，需要跟敏捷性以及彈性一起發展，並且隨著 DevOps 發展出可擴展的安全服務。

RSA Security 也提到「資安左移」的概念，在開發生命週期（SDLC，Software Development Life Cycle）中導入資安測試和程式碼分析來提升安全性。

除了更早的導入資安，資安團隊也需要跟開發者妥善溝通，像是一起討論到產品的上線進度延遲、預計的開發項目等等，而非只是提到漏洞本身。

2020，下一個資安十年

2020 年的資安預測不只有這些，還有像是美國總統大選、隱私、法律、5G 等資安問題。

前面提到一系列的資安威脅，其實算是一種資訊落差和對資產的理解不足，就像 Bugcrowd 預報裡提到的：

The “unknown” is the biggest cyber threat businesses will face.

「『未知』，是企業將面臨最大的資安威脅」

也許下一個漏洞早就已經發生，而我們則是在幾個月後才會發現。

儘管「未知」會是最大的敵人，我們仍可以努力減少「未知」的事物，了解資產、減少無法掌握的環境，並且也持續的學習，縮短資安知識的落差。