商務保障技術市場提供廠商Blue Coat Systems的資訊安全實驗室根據近來網路應用及資安事件情況深入研究,歸納出在2015年可能面臨到的資安威脅觀察,供MIS與資安人員作為新年度資安防禦規劃參考。
1.加密傳輸成為竊取機密與個人資料的危機。在網路上加密資料傳輸的流量越來越普及,有許多機密資料都是因為這樣而洩漏出去的;所以為了要保障隱私,有許多資料在網路傳遞時都會透過各種技術加密。但如此一來也導致惡意程式運用這種方式來規避檢查,當企業要在員工隱私與資安防護上取得平衡點時,加密傳輸也成了防護上相當大的挑戰。
2.各大主流網路媒體將面臨惡意廣告滋擾。各媒體平台與廣告業者合作趨勢越近頻繁,其中某些廣告業者的廣告會夾帶惡意程式,成為所謂的惡意廣告。這不只是對一般使用者帶來困擾,刊登廣告的各大媒體平台也身受其害,除了得付出更多系統資源來執行這些惡意程式外,使用者到媒體平台上瀏覽後導致設備中毒,對於該媒體或網站的聲譽也會造成嚴重的損害,是安全防護上不可不慎的一環。
3.潛在有害軟體PUS的威脅將會加劇。潛在有害軟體(Potentially Unwanted Software,PUS)的數量增多,特別是智慧型手機、平板電腦等行動裝置。這些程式常讓使用者在沒有注意到的情況下安裝了像是「改善您的網頁瀏覽速度」的軟體,實際上卻是蒐集使用者資料並作為廣告用途的PUS。而這些廣告效益也是許多自由軟體(Free Software)開發者獲利的途徑之一。為了要取得更多個人資料,PUS會佔用空間資源,讓使用者的裝置執行速度變慢,甚至破壞既有系統,對允許BYOD(Bring your own device,員工攜帶自己的行動裝置上班)的企業而言,這個問題絕對不能小覷。
4.資料勒索的危害程度會向上提升。2014年,勒索軟體(Ransomware)讓許多人深受其害,可預期的是在2015年它將會把目標鎖定在更高端的對象,且勒索金額也會大幅增加。因此Blue Coat預測,未來勒索軟體的目標,會延伸到中小型企業與小規模的政府機關。此外,勒索攻擊的手法也會更加激烈,駭客不僅會故意加密特定檔案,甚至有可能會演變為勒索整個企業內的網路儲存設備,然後再對受害者提出鉅額的贖款要求。
5.國防等級的監視行動將影響更多層級。相對於2014年,接下來國際間的資安衝突事件可能會相對降低,但影響力卻會更加龐大。為了監視目的,有些國家會將監控軟體埋入資安解決方案中,藉此達到資訊竊取的目的。不可諱言,當不同國家間有所衝突時,這些方法都會再次重演,而對於受害單位來說,這無疑是個很嚴重的資安問題。
6.社群網站成為駭客資料蒐集的途徑。2015年,來自社群網站上的攻擊將越演越烈,駭客們將開發多種工具方便從中找出各種資訊以了解受害者的狀態和有幫助攻擊的資訊,特別是一些較知名的人士或企業。
7.軟體開發安全將成為企業重點。共用模組故障(Common Mode Failure)所引起的問題,就像心臟出血般,雖然只是一個小點,但影響所及卻會讓整個系統都出現問題。駭客也深知此漏洞的嚴重性,因此他們將會不斷嘗試,積極找出相關的漏洞。可以預期到的是在2015年,軟體開發的技術成本將會大幅提高,原因來自於企業得投入更多研究以提升開放原始碼的可靠度,或是直接尋找有第三方認證且更可靠的商業化系統。開放原始碼的軟體將會開始分家,因此像LibreSSL這類另起爐灶的例子會越來越多。企業整體創新發展的腳步將會趨緩,因為必須投入更多資源在緊急維護的工作上。