近來由於環境改變、技術進化,因而提高了資安防護的困難度,而屋漏偏逢連夜雨,突如其來的新冠疫情爆發,又帶來更多的資安挑戰。面對這些不斷浮現的資安危機,可以想見,結合AI、融入人為風險因素,將是未來資安的發展重點。
網路普及、雲端服務與行動應用快速發展,企業與個人在網路所留存的數位足跡持續累積,導致遭受資安攻擊的潛在破口增加。在偵測難度高之新型態自主式攻擊出現、傳統攻擊技術持續進化之下,防護機制失靈狀況頻傳,導致資安風險持續升高。
環境改變、技術進化造成資安防護困難
由於相關技術與服務成熟,雲端運算已成為政府、企業資訊應用架構的重要基盤,同時亦導致其遭受攻擊的潛在風險增高。雖然大部分雲端服務供應商在內外部網路設計上皆已導入資安防護機制,但雲端服務最大的資安問題並非其架構,而是出現在眾多擷取雲端應用軟體、運算儲存等資源與服務的用戶端裝置上。透過用戶端裝置的攻擊,可將病毒軟體植入雲端基盤,造成整個系統感染乃至癱瘓,對於企業採用雲端服務,以及其網路基礎架構都將產生負面影響。
網路攻擊等技術的持續進化,也是造成資安防護更加困難的原因。例如,惡意軟體最初是以植入木馬程式方式,竊取使用者個資來獲利的單純攻擊模式,進階演變為可智慧化自動辨識所在環境規避偵測,並自動規劃進一步攻擊動作,達到提高攻擊成功率與效果的高功能型態。此外,惡意軟體亦已朝向可在各種行動裝置間,進行跨平台攻擊破壞的型態發展。由於此類惡意軟體內含自主學習組件,自動收集所在環境的攻擊資訊,再選擇脆弱之標的進行攻擊,並透過跨平台感染、擴散,擴大攻擊範圍,使得偵測與防患難度大幅提高。
近來層出不窮的勒索軟體攻擊事件,即是駭客將檔案加密,若不支付贖金,就無法取得解密金鑰,成為令人頭痛的資安課題。在透過勒索軟體進行勒索,並常要求以比特幣進行支付,在難以追蹤,以及可獲得高報酬的驅使下,預估未來相關事件將持續發生,勒索累計金額也會急遽增加。 2020年5月即出現一款接連攻擊台灣企業的新勒索軟體ColdLock,除中油、台塑兩大石化公司連續感染,半導體封測大廠力成也遭到攻擊,導致無法正常營運。7月在美國亦出現多起勒索病毒攻擊事件。加州大學舊金山分校即坦承,該校醫學院遭受到駭客的勒索軟體攻擊,由於被加密的資料對學術研究具重要性,因而選擇支付114萬美元的贖金來換得解密金鑰。賽門鐵克亦揭露,一鎖定美國大型企業的勒索軟體WastedLocker,其透過在員工上網可能會瀏覽的合法網站,植入惡意程式的方式,在員工瀏覽這些被駭的網站時,病毒就會擴散至企業整個內部系統,據稱已有多家財星500大的企業遭到攻擊。
新冠疫情爆發帶來更多資安挑戰
新冠肺炎在今年初爆發並蔓延全球,各國政府皆視疫情發展實施各種防疫管控措施,從自主管理、社交距離乃至封城鎖國,不僅打亂民眾生活步調,影響企業日常運作,旅遊、商務等經濟活動停滯,也讓資安防護面臨更多挑戰。
許多企業實施人員分流或者居家上班,學校關閉,學生在家線上學習,而由於居家上班、線上學習的資安防護環境相對薄弱,因而隨著疫情的持續擴散,包括網路釣魚攻擊、宣稱提供疫情資訊的惡意網站等網路威脅與攻擊事件,出現逐漸增加的趨勢。根據一份資安報告的統計顯示,2至3月間與新冠肺炎相關的域名註冊數量增加近7倍,涉及惡意軟體與網路釣魚的惡意域名註冊亦增加將近6倍。
由於全球新冠肺炎疫情仍相當嚴峻,短期內並無結束的跡象,居家上班、上課可能成為未來的新常態,造成視訊會議、遠距會議等通訊軟體需求大增。雖然在通訊軟體等IT工具與技術成熟、選擇多元下,快速建立遠端溝通機制與工作環境問題不大,得以在預防疫情擴大之下,維持最大程度的企業正常運作,但採用通訊軟體是否潛藏資安疑慮,成為另一課題。例如因操作簡易,而擁有大量用戶的通訊軟體Zoom,即因存在安全漏洞,並被反映在舉行視訊會議時會出現駭客入侵,散佈仇恨或種族歧視言論等Zoom轟炸(Zoom Bombing)現象,而遭到許多國家政府與機構的禁用。
結合AI、融入人為風險因素為資安發展重點
有鑑於網路攻擊等資安事件頻傳,手法推陳出新,安全防護技術亦必須因應情勢持續精進。而由於資料持續累積、應用環境複雜,資安專業人才卻十分欠缺,因此近來資安業者以及大型雲端服務供應商皆已積極投入資安結合人工智慧技術之開發,藉以提升對資安攻擊型態演變的偵測與反應速度等防護能力,降低損失。目前最常見的AI資安應用是藉由機器學習分析大量數據,從中找出異常的「預測分析」。
此外,過去資安業者大多將重點放在資料安全或是系統安全,對於人為風險造成的資安漏洞重視度較低。近來,從廠商開發動向觀察,可看出分析人為因素與技術的關聯逐漸成為研發重點。如何在最先進的資安技術中,構建以人為中心的安全機制,在安全架構融入人為風險因素,將是未來進行相關軟體開發時,必要思考的方向。
資安問題與企業經營、民眾日常生活息息相關,影響層面不止於直接受害者,更會擴及整體經濟發展。在資訊應用環境變化之下,企業經營方式與消費行為亦隨之改變,資安課題卻如影隨形日益深刻。綜觀近期網路攻擊等資安事件,皆可看出資安威脅的演變,過去一般企業導入防火牆、入侵防禦系統等資安解決方案之傳統防護機制已無法應付,必須重新檢視,並以新思維與做法因應。因此,針對資安風險從了解到因應,進行新資訊應用架構的設計,以及各種裝置的整合、管理與分析等專業知識的累積,是企業未來必要的作為。
而目前網路普及率高,只要能上網的裝置,都可能遭受病毒或駭客的威脅與攻擊;然而大多數人對於資安防護認知不足,常暴露於風險之中而不自知,因此一般民眾之資安意識與知識的提升也刻不容緩。
<本文作者:周維忠,現任資策會MIC資深研究總監,專業於資訊應用相關技術及基礎環境與市場趨勢研究,長期深度觀察資訊應用新興技術發展、創新服務模式與市場競爭態勢。資策會產業情報研究所(MIC)長期觀測紀錄高科技產業市場情報及發展趨勢,是臺灣資通訊產業最重要的軍師,也是政府倚重的專業智庫。更多資訊請參閱官網https://mic.iii.org.tw/>