每年,網路安全界一些成功和失敗的故事,不僅給我們許多寶貴的教訓,也讓我們對可預見的未來有所啟發。只要細心觀察,我們就能發現一些拼圖線索,進而拼湊出未來的樣貌。隨著 2015 年逐漸邁入尾聲,讓我們來回顧一下這一整年所發生的事件,並利用這些資訊來預測一下未來的走勢。
對於網路犯罪集團如何不斷發揮創意來攻擊一些意想不到的目標,過去已經有很多討論。然而過去這一年,卻證明了網路犯罪集團其實不需最先進的技術或精密的手法就能得逞。有時候,歹徒只需掌握每一種手法背後的受害者心理,就能彌補技術上的不足。簡單來說,整體威脅趨勢正朝向「個人化」發展。
過去十年來,網路勒索都是利用受害者的恐懼心理。這一點,從最早的勒索軟體 Ransomware到今日完全進化的精密版本都能看到。未來,恐懼仍將是任何勒索手段的重要元素,而且隨著手法越來越個人化,受害者將更容易被歹徒予取予求。
同樣的動力,也驅使著駭客激進份子藉由竊取資訊來從事更具破壞力的攻擊,進而徹底摧毀其鎖定目標的信譽和名聲。歹徒可利用外洩的資料來進行資料採礦,但其目標並不一定是為了牟利,而是為了揭發企業的某些作為,或者取得機密資訊。
新一代科技也很可能成為攻擊目標。智慧連網家用裝置的不斷成長,將促使網路駭客利用一些未修補的漏洞來發動一場全面性攻擊。眼前雖還看不到大規模攻擊即將降臨的跡象,但消費性智慧型裝置故障而導致人身傷害卻是很有可能發生的情況。
在行動領域,新一代支付機制將吸引歹徒的覬覦,進而將目標從 EMV 信用卡移轉至行動錢包,屆時這類號稱「更安全」的支付平台將受到嚴格考驗。行動惡意程式未來仍將呈倍數成長,原因是使用者的使用習慣不佳,以及中國境內非官方應用程式商店的發達。
不過,儘管威脅不斷演進,網路犯罪集團也不斷開發新的手法,但之前為了遏止網路犯罪所做的努力仍將看到具體成果。使用者意識的提升以及民間企業和執法機關的通力合作將發揮成效,使得立法、破獲、逮捕以及定罪的速度加快。
2015 年的趨勢、事件及故事如何為我們照亮未來?這些重大的發展如何影響明日的威脅情勢?請按下方的按鈕來閱讀有關影響 2016 年發展的重大趨勢。
2016 年,儘管我們將看到網路安全領域獲得重大進展,但這些重大進展與我們即將面對的威脅之間仍隔著一條細微的界線。科技的不斷進步 (不論是犯罪軟體或是我們的日常生活科技) 將帶來全新的攻擊方式。因此,資安產業以及社會大眾,最好預先提高警覺,以防範這些科技遭到濫用,甚至造成財物損失和人身傷害。
2016 年資安預測
床頭櫃上鈴聲大作的手機讓他從睡夢中驚醒。Rick Davidson 坐了起來,伸手過去拿起他放在筆電和公司識別證旁邊的智慧型手機,識別證上寫著:Smart Life, Ltd. 品保經理。時間是 2016 年 9 月最後一天的凌晨 3:00。他的收件匣有五封新郵件,一封來自 JohnMeetsJane.com 約會網站的營運長 Eric Nielsen。
這封郵件證實了新聞上有關駭客團體 Hackers United 所造成的一起資料外洩。信件中隨附了一張網站遭人入侵的畫面抓圖,畫面上斗大的紅色字寫著:「祕密已經外流」。這封謹慎撰寫的道歉函,表達了網站系統管理員深深的歉意。這是過去五個月來第三起網路約會服務網站遭到攻擊。信件最後,該公司保證會加強會員的安全和隱私權,並且將僱用一位新的資料防護長 (Data Protection Officer)。但這一切對 Rick 來說都已經沒有意義。
他發呆了幾秒之後才將視線移開這封郵件,他的手在顫抖,雖然他的帳號已經將近一年沒用,但這不是重點。重點是,他是個已婚男人,而他的身分資料以及他在這個約會網站上的祕密行蹤,現在都落入了駭客手中。
Rick 深知這類外洩事件將成為新聞媒體追逐的焦點。就在幾個月前,一位好萊塢明星因為不堪入耳的電話錄音在網路上瘋傳而成了今年最爭議的人物之一。而這一小段致命的錄音,只是某個雲端儲存平台失竊的數百萬個檔案的其中一個。但這短短幾分鐘的曖昧對話,卻讓該明星因而失去了一紙數百萬美元的代言合約。諷刺的是,該明星原本要代言的正是 Rick 公司即將推出的最新智慧型汽車。
就在 Rick 還無力打開剩餘的郵件之前,他的電話響了。電話的另一頭是他的上司,聽起來暴跳如雷。因為,其公司最新車款 Zoom 2.1 剛剛又爆發了另一樁新聞事件。過去幾個月當中,他們已曾經多次接獲車主被鎖在 Zoom 車內的投訴,而 Rick 的團隊也因此正在進行深入調查,但最新的投訴卻比以往任何一件事都來得嚴重。若這起事件在網路上瘋傳,Rick 根本不敢想像後果將會如何。
就在他掛掉電話之後,他的筆電上又傳來另一封郵件。他心不在焉地將它點開。一張紅色的桌布赫然占滿了整個畫面。上面寫著一個令他頭皮發麻的熟悉訊息:「祕密已經外流:您有 72 小時的時間付款。」
現在才不過凌晨 4:00,接下來,到底還要發生什麼更悲慘的事?
2016 年將會是網路勒索之年。
過去十年當中,網路勒索集團利用了勒索軟體 Ransomware來誘騙網路使用者掉入他們設下的陷阱。並且利用人們的恐懼來迫使受害者支付贖金。而假防毒軟體詐騙則是利用使用者擔心電腦中毒的心態。勒索軟體 Ransomware的早期變種會將受害者的螢幕鎖住,迫使他們支付贖金以便解開電腦。警察木馬程式專門抓住受害者違法的小辮子來恐嚇受害人付款,不然就威脅加以逮捕或處以罰款。最後是加密勒索軟體,這類網路犯罪集團的目標是電腦裡最寶貴的部分,也就是資料。
【延伸閱讀】《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭
未來,網路勒索集團將會想出更多新的方法來針對個別受害者的心理,讓每一次的攻擊變得更「個人化」,不論其目標是特定使用者或是某家企業。名譽就是一切,因此能夠威脅個人或企業名譽的攻擊,不但非常有效,而且最重要的,非常有利可圖。
除此之外,企業也將掉入最新社交工程(social engineering )誘餌的精密陷阱當中。我們將看到一些誘騙員工將款項匯到犯罪集團戶頭的詐騙大量增加。歹徒將利用其對目標對象業務的熟悉度來暗中行動,攔截企業與合作夥伴之間的通訊,例如 HawkEye、Cuckoo Miner 及 Predator Pain 攻擊行動就是使用這類手法。
2016 年至少將發生一件致命的消費型智慧裝置故障事件。
2015 年,我們看到許多裝置遭到駭入的事件,從嬰兒監視器、智慧型電視到連網汽車都有。儘管使用者對連網家電和裝置的資安風險意識越來越高,但社會大眾對這股吹向各領域的智慧化風潮,依然抱持著高度的興趣。
在未來五年之內,智慧連網家用裝置的出貨量預計將以 67% 的年複合成長率持續增加,並且將於 2019 年達到 20 億台,成長速度更甚於智慧型手機和平板。不過由於作業系統各不相同,同時亦無法規可管,這些智慧裝置目前仍無遭到大規模駭客入侵的可能性。不過,Wi-Fi及藍牙無線網路卻可能因為裝置之間彼此爭奪連線而發生爆滿或塞車的現象,進而衝擊一些關鍵的營運作業。
話說回來,其實消費型智慧裝置發生故障而導致人身傷害的機率反而更高。隨著越來越多無人機占據公共場所上空執行各種任務,還有越來越多醫療相關服務裝置,以及越來越多家用和商用電器仰賴網路連線來運作,我們將更有機會看到裝置故障、駭客入侵,或是裝置遭到濫用而引來大眾要求政府制定法規來約束這類裝置的生產及使用。
截至 2016 年底,行動惡意程式數量將因中國而成長至 2,000 萬;至於全球,則是新的行動支付方式將受到攻擊。
根據研究,中國境內每 4 個 App 就有 3 個是惡意程式。另一方面,根據 Google 所發表的報告顯示,其 Play Store 商店當中僅有不到 1% 的 App 是有潛在危害的程式。而趨勢科技所蒐集到的資料也呈現出這樣的差異性。我們發現中國市場上出現的 App 約有 13% 是惡意程式,而 Google Play 商店內僅有 0.16% 是惡意程式。
未來,行動惡意程式將持續橫行中國,原因是中國境內專門提供免費 App 下載的非官方應用程式供應平台及管道非常發達。儘管中國同樣也有 Google Play 商店,但真正使用它的人卻僅占全中國 8 億行動用戶當中的 2,100 萬人。在這樣的使用環境下,當然無法抵擋行動惡意程式以倍數成長的趨勢,照這速度下去,到了 2016 年底,其數量將達到 2,000 萬之譜。
此問題在其他國家應該不會發生,因為使用者大都前往官方應用程式商店下載程式。不過,新一代行動支付系統 (儘管目前的普及速度仍舊緩慢),將成為駭客的下一個目標,透過各種真實世界的實驗,他們將試圖從新的支付交易技術竊取資訊,例如 EMV 信用卡、非接觸式 RFID 晶片感應信用卡,以及 Apple Pay 及 Google Wallet 之類的行動錢包。這些支付機制所宣稱的強化安全性,將在 2016 年受到網路犯罪集團的嚴重考驗。
根據研究,中國境內每 4 個 App 就有 3 個是惡意程式。另一方面,根據 Google 所發表的報告顯示,其 Play Store 商店當中僅有不到 1% 的 App 是有潛在危害的程式。而趨勢科技所蒐集到的資料也呈現出這樣的差異性。我們發現中國市場上出現的 App 約有 13% 是惡意程式,而 Google Play 商店內僅有 0.16% 是惡意程式。
未來,行動惡意程式將持續橫行中國,原因是中國境內專門提供免費 App 下載的非官方應用程式供應平台及管道非常發達。儘管中國同樣也有 Google Play 商店,但真正使用它的人卻僅占全中國 8 億行動用戶當中的 2,100 萬人。在這樣的使用環境下,當然無法抵擋行動惡意程式以倍數成長的趨勢,照這速度下去,到了 2016 年底,其數量將達到 2,000 萬之譜。
此問題在其他國家應該不會發生,因為使用者大都前往官方應用程式商店下載程式。不過,新一代行動支付系統 (儘管目前的普及速度仍舊緩慢),將成為駭客的下一個目標,透過各種真實世界的實驗,他們將試圖從新的支付交易技術竊取資訊,例如 EMV 信用卡、非接觸式 RFID 晶片感應信用卡,以及 Apple Pay 及 Google Wallet 之類的行動錢包。這些支付機制所宣稱的強化安全性,將在 2016 年受到網路犯罪集團的嚴重考驗。
016 年,我們將見到更多駭客激進份子藉由竊取可對目標機構造成傷害的資料來發動「毀滅性」攻擊。駭客將利用資料外洩對知名企業機構造成嚴重損害,例如過去曾發生的Sony、Ashley Madison 和 Hacking Team 資料外洩 資料外洩事件。
以往,駭客激進份子主要是利用毀損網站門面以及 DDoS 分散式阻斷服務攻擊來打擊目標。但隨著近期一些利用重大資料外洩事件來揭發企業不當作為、祕密通訊、可疑交易等等所帶來的顯著成效,駭客激進份子未來勢必將資料外洩列入其打擊目標的手法之一。
這些人未來將不斷在網路公開場所上傳一些偷到的資料,增加調查和制止的困難度。此外,我們也將看到歹徒利用目標企業網站來進一步感染其消費者,此手法類似之前出現的水坑式攻擊。不僅如此,已經到手的資料,也將成為歹徒發動進一步攻擊的基礎。
儘管「資料防護長」(簡稱 DPO) 一職有其必要,但截至 2016 年底,設置該職位的企業仍將不到 50%。
企業終將明瞭,公司內部需要一個專門負責確保企業內、外資料安全的職務。至於是否要單獨設置一個所謂的資料防護長、資安風險長 (Chief Risk Officer),或是將這項任務包含在資訊安全長(Chief Information Security Officer,簡稱 CISO) 的職務範圍內,則需視企業規模、預算及其他因素而定,但其職務卻是相同的。
歐盟資料防護規範所設下的鐵律,為資料防護訂定了嚴格的標準,而 DPO/CISO 的角色將成為確保資料安全並且滿足資料所在當地國家法規要求的重要關鍵。DPO 和 CISO 必須是資料防護與資料安全法規方面的專家,同時更要知道如何確切落實這方面的要求。
然而,並非所有企業都能達成上述要求。根據一項調查,有 22.8% 的受訪者承認對法規完全沒有概念,有 50% 表示並無打算針對新的規範來重新檢討現有政策。
有關資料防護的安全意識,將促使企業對網路攻擊的防範思維和策略出現大幅轉變。我們將看到越來越多的企業開始化「被動」為「主動」,並利用威脅情報及具備客製化防禦能力的新一代防護來提早偵測駭客入侵。
企業終將明瞭,公司內部需要一個專門負責確保企業內、外資料安全的職務。至於是否要單獨設置一個所謂的資料防護長、資安風險長 (Chief Risk Officer),或是將這項任務包含在資訊安全長(Chief Information Security Officer,簡稱 CISO) 的職務範圍內,則需視企業規模、預算及其他因素而定,但其職務卻是相同的。
歐盟資料防護規範所設下的鐵律,為資料防護訂定了嚴格的標準,而 DPO/CISO 的角色將成為確保資料安全並且滿足資料所在當地國家法規要求的重要關鍵。DPO 和 CISO 必須是資料防護與資料安全法規方面的專家,同時更要知道如何確切落實這方面的要求。
然而,並非所有企業都能達成上述要求。根據一項調查,有 22.8% 的受訪者承認對法規完全沒有概念,有 50% 表示並無打算針對新的規範來重新檢討現有政策。
有關資料防護的安全意識,將促使企業對網路攻擊的防範思維和策略出現大幅轉變。我們將看到越來越多的企業開始化「被動」為「主動」,並利用威脅情報及具備客製化防禦能力的新一代防護來提早偵測駭客入侵。
企業終將明瞭,公司內部需要一個專門負責確保企業內、外資料安全的職務。至於是否要單獨設置一個所謂的資料防護長、資安風險長 (Chief Risk Officer),或是將這項任務包含在資訊安全長(Chief Information Security Officer,簡稱 CISO) 的職務範圍內,則需視企業規模、預算及其他因素而定,但其職務卻是相同的。
歐盟資料防護規範所設下的鐵律,為資料防護訂定了嚴格的標準,而 DPO/CISO 的角色將成為確保資料安全並且滿足資料所在當地國家法規要求的重要關鍵。DPO 和 CISO 必須是資料防護與資料安全法規方面的專家,同時更要知道如何確切落實這方面的要求。
然而,並非所有企業都能達成上述要求。根據一項調查,有 22.8% 的受訪者承認對法規完全沒有概念,有 50% 表示並無打算針對新的規範來重新檢討現有政策。
有關資料防護的安全意識,將促使企業對網路攻擊的防範思維和策略出現大幅轉變。我們將看到越來越多的企業開始化「被動」為「主動」,並利用威脅情報及具備客製化防禦能力的新一代防護來提早偵測駭客入侵。
企業終將明瞭,公司內部需要一個專門負責確保企業內、外資料安全的職務。至於是否要單獨設置一個所謂的資料防護長、資安風險長 (Chief Risk Officer),或是將這項任務包含在資訊安全長(Chief Information Security Officer,簡稱 CISO) 的職務範圍內,則需視企業規模、預算及其他因素而定,但其職務卻是相同的。
歐盟資料防護規範所設下的鐵律,為資料防護訂定了嚴格的標準,而 DPO/CISO 的角色將成為確保資料安全並且滿足資料所在當地國家法規要求的重要關鍵。DPO 和 CISO 必須是資料防護與資料安全法規方面的專家,同時更要知道如何確切落實這方面的要求。
然而,並非所有企業都能達成上述要求。根據一項調查,有 22.8% 的受訪者承認對法規完全沒有概念,有 50% 表示並無打算針對新的規範來重新檢討現有政策。
有關資料防護的安全意識,將促使企業對網路攻擊的防範思維和策略出現大幅轉變。我們將看到越來越多的企業開始化「被動」為「主動」,並利用威脅情報及具備客製化防禦能力的新一代防護來提早偵測駭客入侵。
網路使用者越來越討厭那些不請自來的廣告,再加上 2015 年出現的大量惡意廣告攻擊,使得廠商因而擁有充分的理由在自家的產品和服務當中推出廣告攔截功能。
今年上半年,我們看到惡意廣告攻擊使用了漏洞攻擊套件。2015 年 9 月,3,000 個知名日本網站都遭到了某個大規模的惡意廣告攻擊,導致將近 50 萬名使用者的資料曝光。 2015 年 2 月,趨勢科技發現了一個使用於惡意廣告攻擊當中的 Adobe Flash 零時差漏洞。
這正是為何消費者紛紛想要攔截網路廣告。使用者不再只是「討厭」這些不請自來的廣告而已,使用者已全面意識到這類廣告可能潛藏的風險。事實上,根據 PageFair 與 Adobe 所做的「2015 年廣告攔截報告」(2015 Ad Blocking Report) 顯示,越來越多的消費者會攔截廣告,全球廣告攔截軟體的使用率在 2015 年成長了 41%。
光是在美國,其使用率就已成長至 48%,每月活躍使用者數量在第二季成長至 4,500 萬。此數字撼動了廣告業務的經營基礎,同時也促使廣告商開始為網路廣告尋找新的出路。同樣地,網路犯罪集團也將開始尋找其他接近受害者的方式,等於是重重打擊了惡意廣告。
網路犯罪相關的立法將有重大進展,形成一股真正的全球化風潮。
未來 12 個月當中,打擊網路犯罪的行動將有更多具體的改革。正義之士將看到更多正面的成效,包括更快的立法速度、更多成功破獲的案例,以及更多網路犯罪集團遭到逮捕和定罪。
政府及監理機關將以更快的速度回應網路犯罪。我們已在一連串犯罪份子的逮捕與判刑案例上看到這點,例如:CITADEL 惡意程式的俄羅斯作者以及另一位承認攻擊支付交易處理機構的俄羅斯人,這兩起案例都在 2015 年 9 月開花結果。此外,網路地下論壇的匿名防護罩在今年也被攻破,執法機關因而破獲了 Darkode 駭客論壇。
此外,公私部門的通力合作將蓬勃發展,例如趨勢科技、國際刑警組織 (INTERPOL)、日本網路防禦研究所 (Cyber Defense Institute) 以及其他資安廠商就在今年四月合力破獲了 SIMDA 殭屍網路。就在最近,我們才看到專門竊取網路登入資訊的 DRIDEX 殭屍網路多台伺服器遭到美國聯邦調查局 (FBI) 破獲,這同樣也是該機構與資安研究人員合作的成果。除此之外,我們也會看到更密切的跨國合作,例如最近由美國和歐洲等主要區域率先發起的調查資料分享協議。
多年來,網際網路一直在法規鬆散的狀況下運作。2016 年,政府和監理機關的思維將有重大轉變,並且將扮演更積極的角色來保護網際網路及網路使用者。網路犯罪的立法將獲得討論,而過時的網路安全標準也將獲得檢討,如此一來,我們捍衛資訊安全的立場也將更加穩固。
原文來源: 2016 Trend Micro Security Predictions: The Fine Line
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載