作者:Ed Cabrera(趨勢科技網路安全策略副總)
吸引業界最優秀的人們前來,一年一度的RSA大會起著連接和教育全球各地安全專家的重要作用。在會議期間,我們看到許多網路安全的趨勢和發展,包括美國聯邦政府的介入,現代化汽車的容易被駭,針對連網醫療設備的潛在威脅,以及IT專業人員缺乏網路教育。簡要回顧一下這四個重點及其含義:
- Apple對上美國聯邦政府
最熱門的話題之一是美國聯邦政府與Apple相關的進行中案件。在會議中,紐約地方法官裁定蘋果無須遵從FBI要求來破解一毒品案件內的iPhone。在RSA大會期間,美國司法部長Loretta Lynch走上舞台,強調國家安全依賴於技術產業的合作,並強調要找到平衡點來保護美國免於潛在威脅,網路上和實體上。
- 連網汽車與汽車駭客
來自Uber Advanced Technology Center的研究人員成為焦點,強調了有計畫的駭客要入侵汽車軟體系統有多麼容易。他們舉出Jeep、Tesla、Ford等等完全缺乏對這些類型攻擊的偵測能力。例子包括劫持汽車無線通訊甚或干擾車輛控制區域網路(CAN)來停用剎車。雖然這並非什麼新消息,但隨著世界各地智慧型設備的普及,至關重要的是安全專家和一般個人要將這類入侵攻擊深印入腦海中。
- 醫療設備安全
物聯網(IoT ,Internet of Thing)安全對大多數產業來說都是新領域,包括了醫療產業,讓駭客得以開始來攻擊連網技術。身為白帽駭客的博士研究員Marie Moe介紹了她在物聯網醫療設備上的發現,及它們安全性的缺乏。在發現她救命的心臟節律器因為無線連網能力而將她暴露到另一種威脅時,Moe致力於要代表所有病患來了解更多,並迫使醫療保健產業變得更加透明,這裡通常只限醫生、代碼專有、第三方存取受到限制。
聽到 Moe分享的經驗相當有趣,但並不令我感到驚訝,因為想到Forrester的預測,2016年將會看到醫療設備和穿戴式裝置出現勒索軟體 Ransomware。幸運的是,她和其他人的工作似乎已經獲得回報,就在今年,美國食品藥物管制局頒發解決醫療設備網路安全的準則草案。
- 缺乏網路安全教育
最後但絕對並非最不重要,RSA首要主題實際上並不是針對特定威脅,而是員工間缺乏網路安全教育和訓練。這顯著的差距一直繼續到即將發生難以聘請符合資格的管理者如資訊安全長和資訊長,還有資訊技術專業人員。
網路犯罪環境在不斷變化中,讓學習曲線難以克服。網路釣魚、魚叉式網路釣魚和惡意軟體會在2016年持續困擾著企業。IT管理者需要解決這些問題,並且了解和面對關於物聯網、行動設備、應用程式,雲端和其他快速發展中技術的新威脅。
儘管2016年的RSA大會已經接近尾聲,我們肯定會聽到更多主題被討論。根據我們對2016年的預測,我們預計醫療和其他物聯網裝置會成為關注中心。我個人對於看到前端教育的進展非常感興趣。更進一步到中等教育給高中院校和中等職業學校,有機會去教育和培訓年輕頭腦對於網路安全的持續成功和對抗惡意威脅會是至關重要。
期待RSA 2017的到來!
