TOGETHER, WE

RESPOND

FASTER

2019 臺灣資安大會

臺北國際會議中心 & 世貿一館 2 樓

網路安全預測:2019 年及未來趨勢

新的一年如何在網路威脅四伏的環境中進行部署?請參考以下非常可能對您公司造成影響的趨勢與活動

要預測明年網路安全和隱私權的重大趨勢,過去 12 個月的事件已經透露許多線索。網路駭客攻擊仍是 2018 年企業重要系統與網站最常遇到的攻擊形式,這也將成為 2019 年的網路安全議題之一。全球許多知名組織今年都因出現重大漏洞而蒙受損失,其中行銷與資料彙整公司 Exactis 資料外洩的規模可能最為龐大,內含近 3.4 億筆個人資訊記錄的資料庫外洩。
2018 年除了企業司空見慣的攻擊,針對各種目標和受害者的威脅活動也大幅增加。在社交網路方面,Facebook 估計駭客竊取近 3000 萬名用戶的使用者資訊。民族國家的網路刺探與攻擊也層出不窮,他們試圖不法存取企業機密或政府,以及基礎設施系統內的所有敏感內容。在個人方面,Under Armour MyFitnessPal 的健康追蹤帳戶資料外洩,導致約 1.5 億名民眾的個資遭竊。
綜合以上所述,明年可能會出現哪些網路安全事件呢?以下提供 2019 年開始極為可能影響企業、政府和個人的部分趨勢與活動。

攻擊者將利用人工智慧 (AI) 系統來強化攻擊
各界引頸期盼的 AI 商業化近幾年開始付諸實現,許多企業經營的領域都已經在使用搭載 AI 的系統。這些系統輔助手動作業自動化,並強化決策制定與其他人工活動的同時,也成為伺機攻擊的目標,因為許多 AI 系統內都存有大量的資料。
此外,研究人員愈加憂慮這些系統極可能遭輸入惡意內容,造成其中的邏輯損毀而影響運作,部分 AI 技術十分脆弱,相關隱憂將於 2019 年加劇。某方面而言,針對重要 AI 系統的攻擊事件,將重現過去 20 年網路發展的歷程,尤其是在採用網路的電子商務爆炸性成長後,網路快速吸引了網路罪犯與駭客的目光。 
攻擊者不只會針對 AI 系統,更會自行吸收 AI 技術,進一步強化他們的犯罪活動。自動化系統在 AI 加持之下,將能夠刺探網路與系統,搜尋可刺探利用的隱匿漏洞。AI 也能用更先進的手法,精心製作極為真實的影片、音訊或電子郵件,專門欺騙個人目標,進行網路釣魚和其他社交工程攻擊。AI 還能製造真假難辨的不實資訊,用於興風作浪。試想 AI 製作出一部幾可亂真的影片,內容是公司執行長宣佈大規模財務損失、重大安全漏洞或其他要聞。這類假影片大肆流竄後,在各界理解事情真相前,該公司可能已經蒙受巨大影響。
現在網路就能購買攻擊工具組,攻擊者要製造新的威脅相對容易,因此我們確信採用 AI 的攻擊工具遲早會出現,連次級罪犯都將能夠發動複雜的目標式攻擊。搭載 AI 的工具能夠以自動且高度個人化的手法發動攻擊,在這類工具組的幫助之下,發動攻擊不再需要耗費大量人力和成本,而且每次擬定目標式攻擊的邊際成本會趨近於零。

抵禦措施將更加仰賴 AI 來反擊與辨別漏洞
AI 相關的資安也有好的一面,威脅辨識系統已會使用機器學習技術識別全新威脅。此外,不是只有攻擊者可以使用 AI 系統來刺探開放式漏洞,防禦者也可使用 AI,進一步強化環境來避免攻擊。舉例來說,搭載 AI 的系統可不斷對企業網路發動一系列模擬攻擊,企業可藉由這不間斷的攻擊來找出漏洞,並在攻擊者發現前加以解決。
在居家生活方面,AI 和其他技術也可望開始協助個人善加保護自身的數位安全與隱私。AI 可嵌入手機,藉此警告使用者特定動作的風險,例如,當您在手機上設定新的電子郵件帳戶後,系統可能會自動提醒您設定雙重驗證。當大眾習慣提供個資換取應用程式的使用或額外益處,此類安全型 AI 也有助理解這其中的權衡。

5G 部署和採用率的提升將使攻擊層面擴大
今年數項 5G 網路基礎架構開始部署,2019 年的 5G 活動將會加速成形。雖然要廣泛部署 5G 網路、5G 手機和其他裝置仍須時間,但成長將會十分快速。例如,IDG 將 2019 年稱為 5G 「元年」,並預測 5G 和相關網路基礎架構市場將從 2018 年的 5.28 億美元,成長到 2022 年的 260 億美元,年複合成長率達到 118%。
雖然 5G 的焦點都落在智慧型手機,但明年 5G 手機發行的數量應有限,而為了擴大 5G 行動網路部署,部分電信業者正推出家用固定 5G 行動熱點及 5G 路由器。由於 5G 網路的尖峰資料傳輸率為 10 Gbps (相對於 4G 僅 1 Gbps),因此改採 5G 將催生全新的營運模式、新的架構,當然也會出現新的漏洞。 
未來更多 5G 物聯網裝置將不再需要透過無線網路路由器,即可直接連線至 5G 網路,如此一來將使這些裝置更容易直接遭受攻擊。家庭使用者也會更難以監控所有物聯網裝置,因為這些裝置將繞過中央路由器。更廣泛而言,我們輕鬆在雲端儲存空間備份或傳輸大量資料,也同時給予攻擊者各種全新的攻擊目標。 

物聯網相關的大規模 DDoS 攻擊將轉型為更加危險的全新攻擊
最近幾年,傀儡網路發動的大規模分散式阻斷服務 (DDoS) 攻擊,利用數以萬計遭感染的物聯網裝置,傳送超大流量給受害者,進而癱瘓其網站。媒體至今仍未關注此類攻擊,但明年仍會是重大威脅。在此同時,部分安全性低的物聯網裝置也將因其他危害而遭受攻擊,其中最令人頭痛的是,連結數位和實體世界的物聯網裝置遭受攻擊,因為這些物聯網驅動的物件部分具有動能 (如汽車和其他交通工具),其他則控制重要的系統。控制關鍵基礎設施 (如配電和通訊網路) 的物聯網裝置遭受攻擊的次數預計將持續攀升。此外,隨著家用物聯網裝置變得更為全面,這些裝置未來都可能成為武器,例如,在寒冬關閉敵國家庭的恆溫控制器。

攻擊者將擷取更多傳輸中的資料
家用無線網路路由器和其他安全性不佳的消費性物聯網裝置,將被攻擊者以全新方式刺探利用,其中一個已經出現的刺探方式就是,將物聯網裝置編組來發動大規模挖礦綁架 (cryptojacking),藉此挖掘加密貨幣。
2019 年以後,將有更多惡意份子嘗試存取家用路由器和其他物聯網集線器,藉此擷取傳輸部分資料。例如,插入這類路由器的惡意軟體可能會竊取銀行交易憑證、擷取信用卡號碼,或在使用者面前顯示詐騙惡意網頁以騙取機密資訊。目前這類敏感資料,未傳輸時的保護措施通常較佳,例如,電子商務商家不儲存信用卡 CVV 號碼,讓攻擊者難以從商家資料庫內竊取信用卡號碼。當然,攻擊者的技術會持續演進,以在消費者傳輸資料時加以竊取。
就企業層面而言,2018 年出現多起傳輸中資料遭竊的案例。攻擊集團 Magecart 從電子商務網站竊取信用卡號碼和其他消費者的敏感資訊,方法是將惡意程式碼直接植入目標網站,或是入侵該網站使用的第三方供應商,這種「表單點擊劫持」(formjacking) 攻擊最近已對全球數家公司的網站造成影響。在另一起針對企業傳輸中資料的攻擊中,VPNFilter 惡意軟體也感染許多路由器和連接網路的儲存裝置,藉此竊取憑證、修改網路流量、解密資料,並以此作為端點,對目標企業發動惡意攻擊。 
2019 年攻擊者可能會持續針對企業網路攻擊,因為攻擊一旦得手,就能從受害者身上取得營運和基礎架構等專屬資訊。

刺探利用供應鏈的攻擊頻率與幅度將會增加
攻擊者會在常見的傳播點將惡意軟體植入合法軟體套件,因此軟體供應鏈日益成為攻擊者的目標,這種攻擊可能會發生在軟體廠商或第三方供應商生產期間。典型的攻擊情境是,攻擊者用惡意版本取代正當軟體更新,偷偷地將其迅速散佈給目標。凡是使用者接收到該軟體更新,他們的電腦就會自動受到感染,讓攻擊者在使用者的環境中取得立足之地。
這類攻擊數量持續增加,複雜程度也隨之上升,未來更可能出現感染硬體供應鏈的攻擊行為。例如,攻擊者可能會入侵或修改晶片,或者在 UEFI/BIOS 的韌體新增原始程式碼,之後這些元件再傳送給數百萬台電腦。這類威脅非常難以移除,甚至在受影響電腦重新開機或硬碟重新格式化後,問題可能依然存在。 
總之,攻擊者將持續搜尋全新的機會,並以更複雜的手法滲透目標企業的供應鏈。

安全性及隱私權疑慮上升將促使法規層面採取更多行動
歐盟於 2018 年中實施的一般資料保護規範 (GDPR) 有可能引領歐盟以外的國家或地區實行各種安全性及隱私權措施。加拿大已經實施類似 GDPR 的法規,而巴西甫通過的隱私權法規也與 GDPR 相似,將於 2020 年生效。新加坡與印度正在進行諮詢以設立資料外洩通報制度,而澳洲則已經採取與 GDPR 不同的通報時程。全球還有其他數國已制定完備法規,或者正在商討 GDPR 是否充足。GDPR 生效後,美國加州隨即通過至今仍視為美國最嚴格的隱私權法。我們預計 GDPR 對全球的完整影響將於明年逐漸釐清。
在美國聯邦政府層級,國會正在插手介入安全性和隱私權等領域,相關立法可望受到各界歡迎,具體法條可能會在明年實現。隨著美國 2020 年總統大選開跑,選舉系統的安全性當然會持續成為焦點。  
因應安全性和隱私權需求而制定的法規幾乎確定會增加,但是法規的部分要求可能會造成反效果。例如,涵蓋層面過廣的規定,可能會使資安公司在辨識並應對攻擊時,連一般資訊都無法公開。如果未思慮周詳,在安全性與隱私權法規修正漏洞的同時,有可能也會產生新的漏洞。

  • 分享這篇文章: