犯罪究竟可不可以事先預防?可不可以透過事先的大資料分析,找到可能的犯罪嫌疑人並遏止可能的犯罪行為?好萊塢在2002年一齣由湯姆克魯斯主演的「關鍵報告」中,設定在2054年科技發達,有一套可以事先偵測犯罪行為的「先知」系統,透過各種資料整合與系統追蹤分析,找到有犯罪意圖的嫌犯並事先逮捕。

電影雖然充滿科幻小說的想像情節,但實際上,有許多手法越來越精細複雜且難以偵測的網路犯罪,早就像是科幻小說的翻版,發生在現實社會中。

由國際網路安全防範聯盟(ISCPA)發起,歐洲國際刑警組織和趨勢科技共同參與的一份網路犯罪報告:2020專案(Project 2020),就已經描繪出,未來5年,不論是擴增實境及NFC技術的成熟,或者是雲端DDoS攻擊的橫行,傀儡網路從現有的桌面端走向雲端化,網路幫派鬥爭不斷,甚至是實體數據中心的攻擊等,都是該份研究報告中,所指涉網路犯罪相關類型。

參與2020專案研究的趨勢科技資安研究部全球副總裁Rik Ferguson,本身也是「歐洲刑警組織」與「國際網路安全防範聯盟」的專案領導人之一。他說,這樣的網路犯罪趨勢下,要區分合法和非法活動,界線也變得越來越模糊,以刑事偵查的社交工程郵件為例,究竟是垃圾郵件還是合法的行銷郵件,行為都跟廣告郵件一樣,也越來越難以釐清。他認為,對於各國立法單位而言,必須可以詳細描繪出網路犯罪和行銷行為之間的區別,但是對司法調查單位而言,都必須具備足夠的犯罪調查能力,才有辦法做到後續的檢舉和起訴。                              

從2020專案看未來5年科技趨勢

Rik Ferguson表示,2020專案有一個假設前提,就是距今5年後,有許多現在看來很新穎、先進的IT應用技術,已經普及到每個人的日常生活中。他強調,該專案中的新興科技,現在即使還是雛形,但卻是未來科技應用可能的想像。

2020專案將行動網路視為未來人人的生活必需品。現在已經有速度可以和實體線路比美的4G行動網路,也有新一代的5G網路醞釀中,到了2020年,行動網路是每個人隨時都可以存取的網路服務,傳輸速度快,包含影像、語音甚至是視訊功能使用的流暢度,行動網路頻寬都已經可以滿足所需服務的品質。

再者,擴增實境技術應用也將成熟,搭配具備定位和傳輸功能的戒指,以及高解析度的顯示器,使用者可以清楚在眼前看到3D影像。Rik Ferguson表示,到了2020年,行動電話中的擴增實境功能更為成熟,除了可以搭配頭戴式顯示器(Heads-Up Display,HUD),將傳送的3D影像與現場景色整合在一起外,也提供隱形眼鏡式的顯示器選項。每個人可以透過手勢,選擇所需要的功能,不論是與遠方的朋友通話、線上購物等等,都可以使用手勢選擇;具備高解析度的視網膜顯示器更是主流產品。

結合擴增實境功能的顯示器,也會整合社交網路服務,使用者可以選擇對某些人顯示或隱藏某些個人資訊;即便遠在天涯的朋友,也可以透過視訊方式通訊。只不過,對特定人隱藏某些特定資訊或避免被打擾都是付費的服務,預設免費提供的社交或網路服務,往往就是透過交換或販售使用者的個人資訊獲利,使用者通常需要付費使用進階的過濾服務以避免被打擾。

2020年時,所有資料都透過各種感應裝置,持續回傳到內容平臺中,有些不排斥的人,甚至還可以選擇在皮膚中植入類似RFID的晶片裝置,可以更方便、更沉默的回傳資訊到相關平臺。

數位時代更要重視個人資料所有權

5年後的科技,帶來了第一個衝擊就是隱私保護的議題。「個人數位隱私無價,即便到了2020年,數位隱私一樣重要。」Rik Ferguson認為,數位時代的隱私保護已經是每個人無法逃避的議題,像是在重視個人隱私的歐洲,現在就有法院要求Google必須尊重個人意願,刪除網路上的數位資料和搜尋結果。

持續不斷累積的各種資料中,必須靠分析和整合,才能創造出資料的獨特價值。Rik Ferguson指出,在2020年時,每個人的數位資料都存放在內容服務業者(Content Service Provide,CSP)的平臺中,使用者可以選擇提供多少的個人資料,換得更便利的服務。當然,有一些人,為了確保個人的數位隱私安全性,選擇較為昂貴的付費服務內容,多數的內容服務業者都已經可以依照使用者的偏好,提供所需要的內容服務,例如,如果你不喜歡逛酒吧反而喜歡逛藝廊,平臺業者就只會提供展覽而非酒吧促銷的資訊給使用者。

在2020年,Rik Ferguson表示,「賣資料將是一門好生意,」包括個人資料和數據是允許被販售的,不論是好人壞人都需要好資料,當使用者願意交換個人資料取得更便利的服務時,也必須尊重不願意提供資料的使用者意願。因為,使用者才是資料真正的主人,才有權決定資料如何被使用。「因此,在2020年,每個人都要更重視個人資料所有權。」他說。

現在,多數人可以分析處理的資料,都和個人經驗與行為相關,但隨著分析技術的成熟,Rik Ferguson指出,5年後,分析技術將更拓展到「情緒變化」。也就是說,到2020年,已經有分析軟體可以分析個人的情緒好壞,進而建議適合的採購商品或廣告。「隨著各種分析技術的成熟,也讓每個人連同心情,都可能完全暴露在數位網路中。」他說。

資料的交換、分析和使用過於頻繁,使用者也必須更在意內容服務業者究竟怎麼使用資料,因此,在2020年,定期的資料使用報表將成為常態;更有甚者,隨著每個人都生活在數位網路時代,因為網路上的信任相對薄弱,每個人為了要獲得他人的信任,身分認證管理與信譽評等就顯得相當重要,甚至於,好的信譽評等也成為數位時代中可以換錢、買東西的工具。

Rik Ferguson說:「類似的身分管理和信譽評等機制的興起,也只是反應每個人在數位時代中的脆弱與渺小。」甚至於,到2020年,所有的金融服務全都朝向行動化、雲端化發展,到銀行領錢已經極為罕見。

5年後,所有的服務都已經在線上化,所有的裝置也都連網。Rik Ferguson表示,現在許多人推廣的IoT(Internet of Things,物聯網)裝置,風險其實比IoE(Internet of Everything)還低,主要是,IoT處理器功能受限,許多製造商甚至沒有提供直接操控的介面,在搶市占率、獲得市場青睞的同時,安全永遠不是IoT首要關注的焦點。因此,他認為,多數的IoT甚至是IoE相關的製造商,在產品設計之初,就應該內建或預設安全議題。

2014年是大量資料外洩的一年

Rik Ferguson從2020專案中得出一些觀察,在因應未來威脅之前,要先了解目前的資安考驗為何,因此,只要能掌握一些資安關鍵議題,就能知道如何因應相關的資安威脅。像是,如何了解網路中誰持有哪些資料,且持有多久?有哪些人濫用或合法使用資料?許多資料使用是否與原先的使用目的相符?執政當局提供的資料存取方式,是否可以確保資料的安全性?如果資料有損失,由誰承擔資料損失的風險?有誰提供金錢或資料復原的補救措施呢?又由誰負責網路、服務和應用程式之間的安全性?目前有哪些技術可以確保這些網路、服務和應用程式在執行環境中的安全性等?只要可以掌握這類關鍵問題,也就可以確保有能力因應資安威脅的。

有人說,2014年是網路被駭年(The year of hack),但Rik Ferguson認為,2014是大量資料外洩的一年,且APT(先進持續性威脅)的攻擊也未見減少。他表示,許多政府和大型企業面臨APT攻擊時,潛在的風險則是頻繁的駭客活動和偷資料的木馬程式,帶來大量、有價值的資料遺失。

更有甚者,網路犯罪已經形成一種新的雲端服務類型(Crime as a Service ),成為一種網路作戰的工具;也有越來越多使用嵌入式系統(Embedded System)的硬體裝置,例如POS機(端點銷售系統),將面臨新的網路風險,例如,偷信用卡資料的惡意程式,而這些新威脅也將帶來更多受害者,駭客會利用更多方式隱匿自身攻擊行為,並運用假的憑證取得信任;其他許多線上金融服務也會面臨更多攻擊和帳密與金錢的竊取。

攸關國家關鍵基礎建設(CIP)和關鍵資訊基礎建設(CIIP),也一直都是駭客攻擊的目標;社交網路的普及,讓駭客更容易透過各種社交工程手法,針對特定對象取得所需要的資料。Rik Ferguson表示,上述的網路威脅,迫使各國政府希望能夠立法面對新型態的網路威脅。

相較於2014年的資料外洩或被駭風險,Rik Ferguson認為,在利之所趨的行為下,「2015年國家級的網路犯罪行為減少,但企業面臨的風險卻大增。」

知己知彼、百戰不殆

Rik Ferguson認為,若可以理解威脅的由來,就比較容易知道如何應對。首先,殺頭的生意有人做、賠錢的生意沒人做,理解駭客入侵的目的就是為了要賺取實質的金錢利益。他指出,早期駭客的攻擊入侵多數是為了打打知名度,但現在,駭客入侵一定要有實質獲利才會做。

其次,駭客入侵且願意長期潛伏的目的是為了攔截情報。Rik Ferguson指出,許多網路間諜不論潛藏多久,都是為了獲取更多機敏資料。

駭客最終目的要取得資料,Rik Ferguson說,「不論是竊取或者是銷燬資料,擁有資料的主導權,就是駭客最終的目的。」他表示,駭客有機會濫用電腦運算效能時,就等於增強駭客的攻擊能力。因為網路的信任是相當脆弱的,Rik Ferguson指出,一旦原本信任的憑證或工具被偽冒,就足以破壞網路原本脆弱的信任感,嚴重時,可能毀壞原本正常的網路運作。

Rik Ferguson認為,每個資安人員都應該研究2020專案,找出未來的科技發展趨勢與威脅,從中培養面對未來資安威脅的預期心態,如果每個人做好心理準備,就能夠培養展望未來網路與資安風險的應變能力。

 

CTO小檔案

Rik Ferguson

趨勢科技資安研究部全球副總裁

學歷:英國威爾斯大學藝術學士學位

經歷:在資安產業將近20年,曾經在 EDS 擔任資訊安全基礎架構專家,負責帶領司法及執法部門相關政府專案資訊安全設計工作,也曾在 McAfee 擔任資深產品工程師,專攻網路安全、入侵防護、加密與內容過濾。於2007年加入趨勢科技,現在是資安研究部全球副總裁,率領全球1,200名資安研究人員,從事網路威脅與地下經濟的研究

 

公司檔案

趨勢科技

●  總部:日本東京

●  成立時間:1988年

●  主要業務:雲端資訊安全及服務

●  網址:www.trendmicro.com

●  創辦人:張明正、陳怡蓁、陳怡樺

●  執行長:陳怡樺

●  員工數:5,200人

●  年營收:376億元

公司大事紀

●  1990年:推出首款個人端防毒產品PC-cillin

●  1991年:進入企業市場,推出伺服器防護產品 Server Protect

●  1992年:趨勢科技將總部移到日本東京

●  1996年:趨勢科技推出Inter Scan企業防毒產品

●  2008年:日本東京證券交易所掛牌上市

●  2009年:收購Third Brigade,推出 Deep Security 深層安全防護系統

●  2011年:推出資料中心安全解決方案;趨勢科技TrendLabs取得ISO 20000 國際認證

●  2012年:Deep Security安全解決方案支援VMware;推出 Custom Defense 服務

●  2013年:併購威播科技( Broadweb ) ;首創APT事件處理小組

●  2014年:正式與國際刑警組織簽訂3年合約,共同打擊全球網路犯罪

●  2015年:協同國際刑警組織(Intelpol)破獲SIMDA殭屍網路


Advertisement

更多 iThome相關內容