Sophos日前發佈2015年安全威脅趨勢報告,揭露在可預見的未來的最大安全風險,並說明在新的一年中,持續演進的網路威脅會對企業和消費者造成的實際影響。在如今年家得寶(Home Depot)和索尼(Sony)等的大型資料外洩事件後,可以想見網路安全仍會是2015年的熱門話題。
在完整的報告中,Sophos專家指出十個預計在2015年起會對安全發生重大影響的領域:
1.漏洞減少導致可用弱點數目變少。長年以來,Microsoft Windows都是網路犯罪分子的溫床。幸運的是,Microsoft在消彌漏洞上花費了大量心力,讓撰寫攻擊程式碼的動作越來越難。在入侵攻擊的難度增加後,部分攻擊者將目標轉移到社交工程,而且我們也看到有攻擊者鎖定非Microsoft的平台。
2.鎖定物聯網的攻擊,已經由概念驗證變成主要風險。在2014年,我們發現更多物聯網(IoT)製造商的裝置無法實作基本安全標準的情形,因此針對這些裝置的攻擊會對實際環境造成嚴重影響。安全產業必須與日俱進,以便可以保護這些裝置。
3.加密成為標準,但並不是所有人都滿意這一點。隨著情報機構從事間諜活動的事蹟被層層揭露,以及資料外洩事件不斷躍上新聞版面,使得安全和隱私問題越來越受到重視,因此加密變得比以往更為重要,但這個措施並非完全沒有爭議。如執法部門和情報機構等特定組織並不喜歡加密無所不在,他們相信這種作法可能對安全造成不利的影響。
4.在過去15年被廣泛使用的許多軟體中,仍有許多主要漏洞尚未被安全產業發現。從Heartbleed到Shellshock,很明顯地,在我們今日的電腦系統中,仍然存在許多不安全的程式碼。2014年發生的事件將網路犯罪份子的興趣大幅轉向到較不受到注意的軟體和系統─所以企業也應該準備好因應的策略。
5.監管機構要求揭露更多訊息和擔負更多責任,尤其是在歐洲。和技術及安全領域相比,法律進步的腳步相對較慢,但是姍姍來遲的重大監管政策改變已經近在咫尺。這些改變很可能會促使其他司法管轄區制定更為激進的資料保護法規。
6.攻擊者對行動支付系統的興趣增加了,但短時間內仍將重點放在傳統金錢詐騙。在Apple引發Apple Pay風潮之後,行動支付系統成為2014年的主要話題。網路犯罪份子會尋找這些系統的漏洞,但現在的設計中已經具備幾個積極的安全功能。我們預估網路犯罪分子短時間內會繼續將目標放在傳統的信用卡和簽帳卡,因為這些目標更容易得手。
7.全球技能差距持續擴大,對事件的回應和培訓將是主要重點。隨著技術越來越融入我們的日常生活,並且成為撐起全球經濟的支柱,各國政府和業界都認為網路安全技術人才短缺的問題越來越重要。部分政府預估到2030年時,合格IT安全專業人員不足的差距會越來越大。
8.鎖定行動(和其他)平台的攻擊服務和入侵攻擊套件增加。在過去幾年裡,由於攻擊的產品和服務盛行,只要簡單操作就能使用駭客手法和發動攻擊,使得網路犯罪更容易達到目的。由於行動平台非常熱門(包含越來越多令人垂涎的資料),我們將會看到有更多明確鎖定這些裝置的犯罪套件和工具出現。我們也可以看到這個趨勢在IoT領域的其他平台出現,因為這些裝置在我們身邊快速增加。
9.在工業控制系統和實際環境安全之間的缺口越來越大。由安全的角度來看,工業控制系統(ICS)通常落後主流技術十年或更多。在未來幾年,我們預估會出現更多被駭客利用的嚴重漏洞,因為一波波由國家支持的攻擊或經濟動機的犯罪會隨之而來。總之,這是一個有著顯著風險的領域。
10.引人注目的rootkit和殭屍程式的能力會找出新的攻擊管道科技產業正在改變,從那些我們長期依賴的主要平台和作法開始轉移,而這些較為底層的改變會出現讓網路犯罪份子感興趣的漏洞,進而利用它們發動攻擊。這些重大改變並非老舊的防護技術標準所能保護,可能會讓補強過的弱點再次出現,並發展出新的安全漏洞類型。