度過又一年層出不窮的資料外洩事件之後,2020已經正式展開序幕,我們該如何看待接下來這一年的資安趨勢?與過往最大的不同,今年許多相關預測都提到5G,越來越多國家開始提供5G行動網路,勢必會帶來更多連網裝置的應用,以及更快的連網速度,但相對也帶來更多風險,像是行動裝置與電信業者基礎架構的安全漏洞影響範圍、資料外洩的規模與難度。而面對這樣的挑戰,臺灣開始進行相關的準備了嗎?我們的資安主筆黃彥棻採訪了國家通訊傳播委員會委員孫雅麗,當中揭露臺灣5G資安政策走向。
而無論5G何時會普及,目前在網路安全領域當中,關於物聯網(IoT)與操作科技(OT)等層面的威脅與防護,是更為迫切而真實的。根據資安廠商Kaspersky的觀察,單是2019年上半,就出現了1億次IoT攻擊,而發動如此龐大攻勢的是哪些IoT惡意軟體?Mirai系列佔大宗,緊追在後的是Nyadrop(前兩者都有將近4成的比例),第三大是Gafgyt系列(2%)。
值得注意的是,這些惡意程式經常會攻擊與遠端管理、存取的通訊協定,像是VNC、SMB、SSH,都有1成以上的比例,其次則是Telnet、HTTP/HTTPS、資料庫(微軟SQL Server),而且有許多都是利用設備的預設密碼。
除此之外,對於人工智慧(AI)/機器學習(ML)、雲端服務等新興技術應用,我們也要關注資安威脅與防禦的相關發展。
舉例來說,Deepfake就是相當駭人的AI身分偽冒手法,攻擊者可利用合成影像與聲音來假造同事或主管,藉機騙取信任,進而獲得授權,更不用說各種自動化的攻擊與滲透方式,正無聲無息地潛入受害者所用的資訊與連網設備;而對於防守方而言,許多資安廠商也不斷努力運用AI和ML技術,來減輕日益沈重的事件記錄分析負擔,並且搭配各種自動化技術,做到持續偵測分析、動態調度指揮、自動化處理與即時反應,也因此市面上出現不少具有AI特色的資安解決方案,將端點、網路、應用程式等各個層面所掌握的威脅情資,統整起來,再搭配多樣的威脅減緩機制,像是隔離、阻斷、修復,以便盡可能地降低災情。
面對資安威脅的持續進逼,我們在構思防禦與因應的策略上,還需要注意一個新的切入面向,那就是以供應鏈的角度來考量,許多駭客攻擊與惡意軟體的侵襲,不只是從「點」與「線」來進逼,如今更有可能是「面」的包圍,對於企業組織、消費者而言,對於自身環境與使用的產品、服務安全的認定,不能只看單一供應來源,而是要觀照到各種相關的技術環節,因為有越來越多的網路與惡意軟體攻擊,並不是採取直球對決的硬碰硬策略,而是透過間接的方式來對主要目標產生衝擊,因此,身為防守方也必須要考量到這樣的可能性,而且,光是「獨善其身」並無法擺脫供應鏈攻擊的影像,所以,我們應該要設法加強與其他企業組織在資安上面的合作,相互幫忙,一起提升防禦能力,盡量不讓對方在供應鏈的各個環節上找到弱點。
若要有效因應資安威脅的發生,整體而言,我們對於事前的預防、事中的察覺、事後的處理,都必須具備足夠的能力,而更難的是持續產生資安動能,不能單靠企業本身的自律,需要更多外部管控的力量。
例如,近年來,各國政府都在推動資安相關法令與法案,像是歐盟有GDPR,臺灣有個人資料保護法,以及資安管理法,美國有加州物聯網裝置安全法案與加州消費者保護隱私法。而在企業與組織的資安防護成效的驗證上,除了我們熟知的各種資安標準,在2020年,我們需關注歐盟推動的Cybersecurity Act,當中牽涉到四種資訊安全產品或服務的驗證,另外,在隱私保護的應用上,企業也可以參考ISO 27701,從中尋找落實的方法。
專欄作者
iThome電腦報周刊副總編輯
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15