從各方面來看,2015 年都是網路安全產業相當有意思的一年。有許多事件登上新聞版面,讓資訊安全成為產業內外都在談論的議題,除此之外還有許多突破性的創新。儘管出現了一些不幸的消息,但在這個感恩的季節,還是有些發展趨勢值得我們感恩。
1.更安全的支付系統
隨著支付系統的改良,非現金支付方式將來應該可以有效減少詐騙數量。美國境內的所有商家都必須在十月之前改用更安全的 EMV 晶片信用卡,這將有助於大幅降低卡片遺失或失竊所造成的盜刷情況。
2013 年,美國Target資料外洩連鎖超市發生史上最大的資料外洩事件,而罪魁禍首就是 PoS 記憶體擷取程式。改用 EMV 信用卡能讓網路犯罪集團更難利用偷來的資料製作偽卡,而且,改良的驗證機制也有助於防範不肖人士使用偷來或拷貝的卡片。隨著歲末購物季即將來臨,消費者今年在刷卡購物時應該可以更放心。
[延伸閱讀:新一代支付交易處理技術:技術及原理 (Next-gen payment processing technologies: what they are, and how they work)]
2.打擊網路犯罪聯合行動
今年,我們已經多次看到執法機關、民間企業以及資安研究機構的聯合打擊行動。這些聯合行動使得多名網路犯罪份子遭到逮捕,並且建立了討論機制,讓三方面交流該如何制訂更好的法律來確保科技的合理使用與限制。
多年前,企業大多傾向於自己處理資訊安全的問題,此外,執法機關亦不具備所需的能力來對付網路犯罪集團。但現在,三方合作破獲重大威脅和網路犯罪集團的情況,已成了司空見慣。
3.Windows 10 讓網路瀏覽更安全
Internet Explorer (簡稱 IE) 的漏洞一直是歹徒最愛的攻擊目標之一。光是去年就有超過 200 個記憶體毀損漏洞被發現及修補。隨著最新版作業系統的發表,使用者終於可以揮別 IE,因為 Microsoft 推出了全新的 Microsoft Edge 瀏覽器,大大改進了之前的缺失。最值得注意的其中一項改進就是所謂的 MemGC 功能,此功能採用「標記之後再清除」的記憶體回收機制,能有效防止記憶體「釋放後再利用」(use-after-free,簡稱 UAF) 的漏洞,而這正是 IE 不斷發生的問題。
未來,瀏覽器開發廠商將花費更多心思來防止使用者遭到網站威脅。
[延伸閱讀:Windows 10 推出 Microsoft Edge 來強化瀏覽器安全性 (Windows 10 sharpens browser security with Microsoft Edge)]
4. 歐盟同意 全面翻修資料保護法
今年,我們看到政府部門通過並實施了一些更能有效保障企業及客戶一般福祉的法律。其中之一就是「歐盟資料保護法」(EU Data Protection Law),該法已於今年稍早在 28 個歐盟會員國開始實施。最重要的是,該法當中包含了有關個人資料的定義、資料外洩的罰則以及「被遺忘權」(the right to be forgotten) 等等。歐盟資料保護法當中一項重要的規定就是:當企業發生資料外洩時,必須在事發的 24 小時內告知社會大眾。這有助於客戶採取更主動的資料防護措施,並且更快做出因應,而非當資料被偷、被賣了之後還被蒙在鼓裡。
[延伸閱讀:法規遵循之路:一次看懂歐盟資料保護法 (The Road to Compliance: A Visual Guide to the EU Data Protection Law)]
5.MR.ROBOT《駭客軍團》讓大家更了解網路安全的重要性
MR.ROBOT《駭客軍團》無疑是今年秋季最熱門的美國電視影集之一。這是目前為止對網路犯罪集團及其作為刻劃最真實的影集。有別於大多數的好萊塢駭客電影或影片,這一系列的影集清楚描繪了網路犯罪集團如何運作,以及他們所帶來的不良後果。此外,也點出在資訊安全領域當中,「人」才是最脆弱的環節。 繼續閱讀
