2019年八大網絡安全預測

IDG CSO編輯部 陳琳華

CSO網站今年再次對未來12個月可能發生的重大事件或趨勢進行了預測，表達了我們對明年信息安全世界的期望和擔憂。

預測一向很難，在混亂的網絡安全世界中進行預測更是難上加難。當前威脅的類型很多，攻擊性和防御性技術也在快速發展。由國家支持的網絡攻擊在范圍和復雜程度方面均呈持續增長的勢頭。

這種網絡“戰爭迷霧”使得人們很難看清或是正確評估每個趨勢。例如，CSO網站2017年在對2018年的預測中就沒能預料到“加密貨幣挖礦”威脅的快速上升。事后看來，這種通過相對容易實施的低風險網絡犯罪即可實現非法獲利的方法應該是不法分子的理想選擇。

盡管如此，CSO網站還是成功地預測了一些趨勢。例如，威脅檢測流程的自動化程度越來越高，使用受破壞的物聯網設備進行攻擊的數量顯著增長，網絡犯罪的不斷增長導致社會信任度下降。

CSO網站在2018年再次對未來12個月可能發生的重大事件或趨勢進行了預測。 以下為其中排名前八位的趨勢。

1. 勒索軟件逐漸減少，但破壞力仍然驚人

隨著犯罪分子轉而以其他方式非法謀利，勒索軟件將逐漸減少。CSO高級職員Steve Ragan稱：“雖然勒索軟件仍然是嚴重的問題，但是它們將很大程度上轉變成為一種更具針對性的攻擊。”根據卡巴斯基的統計，在2017年和2018年遭到勒索軟件攻擊的用戶在數量上比2016年至2017年期間下降了近30%。

Ragan指出“盡管隨機性下降了，但是它們選擇的目標都是一些社會關注度極高的目標”。賽門鐵克稱，SamSam勒索軟件背后的黑客組織目前正重點關注美國境內一些數量相對較少的組織機構，例如市政和醫療保健機構。

勒索軟件威脅下降的原因是犯罪分子找到了加密貨幣劫持和其他更快捷的非法牟利之道。現有的加密貨幣挖礦工具的數量和質量意味著犯罪分子不需要熟練的技術。卡巴斯基認為，在過去一年中受到過加密貨幣挖礦攻擊的用戶數量增加了44.5%這一事實恰恰反映了這一點。CSO的專家David Strom稱：“秘密挖礦軟件在2019年將持續激增，惡意軟件作者將利用它們來侵害用戶的業務。只要攻擊者能夠從傳播中迅速攫取不義之財，那么加密貨幣挖礦攻擊就將會持續成為威脅。”

2.隱私監管和公眾情緒將推動數據保護政策

CSO在2017年預測，歐盟將會迅速處罰一批違反《通用數據保護條例》（GDPR）的公司以儆效尤，但實際情況是上述預測并沒有發生。盡管如此，對于泄露個人信息的行為進行處罰的風險在2019年將對企業的安全運營產生巨大影響。

這類罰單可能很快就會開出。CSO資深撰稿人J.M. Porup認為，“歐盟將會利用GDPR從嚴從重處理幾家公司。從2019年上半年開始，執法將變得格外嚴格。涉嫌從事監視行為的公司，如谷歌和Facebook未來幾年的日子可能會不太好過。目前相關部門已收到了大量投訴，其中一些投訴的對象就是谷歌和Facebook。”

歐盟在2019年對這些投訴的回應方式將進一步詮釋GDPR和其他的隱私法規中的規定。如果GDPR沒有做出回應，那也就說明了，企業不用認真對待這些監管。

由于人們對企業如何使用和保護個人信息日益關注，這使得越來越多的人認為企業應當承擔起更多的責任。CSO撰稿人Roger Grimes稱：“層出不窮的安全漏洞和其他不道德的信息披露促使消費者要求更多的默認隱私，并且能夠掌控自己的信息。”

Grimes預測美國將于2019年在全國范圍內制定類似GDPR的隱私法。目前《加利福尼亞州消費者隱私法案》已通過成為了法律，并將于2020年生效。美國參議員Ron Wyden在2018年11月1日已提交了《消費者數據保護法案》（CDPA）。該法案將對侵犯隱私權的行為進行嚴厲處罰，包括入獄。鑒于美國聯邦政府目前的狀態，該法案不太可能獲得太多關注。與此同時，在美國大多數處理消費者數據的組織機構將尋求以GDPR和CCPA等法規作為指導。Porup認為“盡管華盛頓并不積極，但是加州和紐約將繼續圍繞消費者數據隱私展開協商。”

CSO撰稿人Maria Korolov稱：“企業將會開始認真考慮隱私優先的數據方案，特別是當這些法律擴展到更多的轄區和特定的垂直行業時，如銀行、醫療和支付行業。這些需要企業對收集、使用和共享數據的方式做出一些重大改變。”

3.國家對個人的攻擊和監視將會增多

背后有國家支持或贊助的針對記者、不同政見者和政治家的網絡攻擊將繼續增長。有相似意向的政府將對發生在自己境內的此類攻擊視而不見。

國家監視本國公民的最惡劣案例可能要數沙特記者卡舒吉案件了。以色列《國土報》報道稱，沙特政府在卡舒吉停留加拿大期間使用了以色列的網絡武器對其進行了追蹤。

以色列政府似乎是其他政府監視本國公民的主要技術出口國。《國土報》報道的另一則新聞稱，多個國家正在使用以色列的軟件來監視不同政見者和同性戀者。

4.微軟將在其所有主流產品中內置高級威脅防護（ATP）

Windows 10高級威脅防護（ATP）服務允許任何擁有E5許可證的人查看底層操作，了解攻擊者對系統所做的操作。該服務基于遙測，當計算機連接到ATP服務時即啟動。

為了打造重視安全性的品牌形象，微軟將繼續不遺余力地為所有Windows版本設置ATP標準。CSO的Windows專家Susan Bradley說：“這將成為客戶明年選擇Windows產品而不是IBM紅帽的一個關鍵賣點。”

5.多因素身份驗證將成為所有在線交易的標準

雖然遠非完美的解決方案，但是大多數網站和在線服務仍將會放棄單一的密碼登錄方式，轉而使用指定的或可選的身份驗證方法。一段時期內，不同形式的多因素身份驗證可能會使用戶感到困惑和無所適從。

Bradley認為“僅使用密碼進行身份驗證會讓我們面臨的網絡釣魚等攻擊的風險越來越大。但事實上，所有廠商都在針對身份驗證部署不同的系統，這意味著對雙因素身份驗證的管理將會把用戶逼瘋。在更為標準化的流程出現之后，情況才會好轉。”

至少廠商方面已經在開始制定相關的標準。Strom稱：“FIDO2瀏覽器增強功能和Duo/思科收購將會起到決定性的推動作用。預計明年將會出現更多的創新，這些創新將讓雙因素身份驗證的使用更加便捷，更具吸引力。”

6.魚叉式網絡釣魚更具針對性

攻擊者知道他們擁有你的信息越多，他們就越能成功地對你發起網絡釣魚攻擊。有些戰術會令人有點毛骨悚然。Grimes稱：“魚叉式網絡釣魚的一個變化趨勢是，為了開展網絡釣魚行動，黑客開始入侵電子郵件系統，并潛伏下來進行學習。然后他們會利用掌握的信息和聯系人之間通過經常溝通建立起來的關系和信任。”

Grimes認為這種攻擊的重災區是抵押貸款詐騙。黑客會通過購房者信任的抵押貸款代理的電子郵箱向購房者發送電子郵件，誘騙購房者打款。“黑客先侵入抵押貸款放款機構的電腦，記錄所有即將到期執行的將發生交易和其截止日期。通常抵押代理會在到期前一天發送電子郵件告知客戶向哪里打款。這時網絡釣魚者會使用抵押代理的計算機發送帶來虛假賬戶的電子郵件提醒打款。沒有任何戒心的受害人會毫不猶豫的打款，而這些錢基本上無法被追回。這種詐騙最終會導致受害者失去房子（除非他們能夠另拿出一筆錢進行還款，而大部分受害者都沒有這種能力）。”

7.各國都在制定網絡戰規則

對于常規戰爭，大多數國家都已達成了一套基本共識，如不虐待戰俘、不使用毒氣、不屠殺平民。這些規則劃定了界限，一旦有國家違反就會受到全球多數國家的譴責。

網絡戰爭則沒有這類規則，一些國家似乎認為自己可以做任何事情而且不受懲罰。“例如，朝鮮黑掉了索尼影業，俄羅斯通過網絡攻擊了工業關鍵控制系統并試圖影響他國選舉，美國和以色列使用惡意軟件摧毀了別國核設備等等。數字邊界正在受到考驗，一些國家選擇了反擊。預計很快就會有一個關于數字戰爭的日內瓦公約。”

無論有沒有建立起規則，一些國家都將繼續在網絡戰爭中突破界限。Korolov稱：“網絡攻擊者將繼續在一些國家得到庇護。他們將擁有比以往更多的資源，有的來自于政府，有的是勒索軟件和加密貨幣劫持攻擊攫取的不義之財所帶來的。他們將使用這些資源來尋找新的攻擊向量，提高惡意軟件的彈性和適應性。在全球地緣政治發生重大變化之前，情況將持續惡化，而這種重大變化最早也要到下一次美國總統大選之后才會出現。”

8.更多企業將要求CSO/CISO擁有網絡安全碩士學位

Porup預測，隨著網絡安全教育的持續成熟，安全專業人員在職業生涯中將無法單憑證書獲得進一步發展。 “大雜燴式的安全認證體系已經無法提供適當的教育和培訓了。”

Porup指出，“許多大學都在設置了網絡安全碩士學位，包括加州大學伯克利分校和紐約大學等名牌大學。越來越多的企業希望聘用通過碩士教育獲得了跨學科技術技能的首席安全官/首席信息安全官。”