在政府與資安業者的合作下,駭客們的活動會更深化與轉換焦點,也使得威脅會更加的嚴峻! 在新的年度到來之際,不禁要問資安威脅將來會演變成何種型態?我們又該如何面對?
新型態的資安威脅
我們將會看到更多元化的目標和攻擊來源,也會看到具備不同目的的威脅份子出現。雖然動機可能多元化,不過相同的是將竊取極機密的政府、醫療、產業、財務及個人資料,而社群媒體將會成為針對性攻擊的一個切入點。這都是政府與企業必須要合力防範與回擊的,而這些新型態的資安威脅又是那些呢?
黑暗網路與地下論壇
網路犯罪份子利用深層網路和其他黑暗網路(darknet)、專門的地下論壇及無法追查的點對點網路(例如Tor、I2P、Freenet),來進行販賣或交流工具及服務。網路安全公司及執法單位必須有清楚的合作範圍的單一解釋,才能協助執法單位抓到網路犯罪份子和攻擊者。
演變成國家層級
不僅在個人資訊方面,國家層級的資訊安全將會持續發展與加速受到關切。就在去年十一月中旬,美國國務院關閉了非機密性電腦網路,因為證據顯示網路已遭受駭客入侵,因為真的被駭,國務院將是一連串美國政府機構遭受網路入侵的最新受害者,在這之前,像美國郵局服務及國家海洋及大氣總署(NOAA)也傳出遭駭事件。就像NOAA事件就傳出是中國搞的鬼,而俄羅斯也被懷疑入侵美國白宮的電腦系統。
醫療資訊成為新目標
個人對於醫療資訊日益重視,因此以後對於其資訊的外洩,也將是重要的議題,一般醫療機構對於資安的防範,一般沒有得到極大的重視,這也將成為重大的風險。我們在就醫時,通常會透露出個人資料,病史,甚至財務及家庭狀況,若是將這些資訊拚湊起來,將可以對人構成較完整的了解,這資訊的價值就更高了。
開放原始碼是易受攻擊的
除了谷歌(Alphabet, GOOGL-US)的Android平台,物聯網各大陣營也都是以開放原始碼的方式,以擴大裝置的互連,不過開放的結果,使得本身的弱點也造就了網路駭客的攻擊目標。
在2014年,我們看到數個開放原始碼的漏洞,像Shellshock及Heartbleed(心淌血漏洞),這些漏洞直到最近才被發現。網路駭客依然會持續去調查現有程式碼,看是否有其他的漏洞存在。利用開放原始碼的弱點,使用類似黑洞漏洞攻擊包(BHEK)的工具,當然像其他傳統的勒索軟體也會出現在行動裝置上。
物聯網成為新目標
隨著物聯網的成長,我們將會在未來幾年看到這些行動裝置或智慧家電遭受安全攻擊的事件,網路犯罪也將會目標轉移到這些裝置。所以需要整合物聯裝置的資料,以培養相關防範的能力。
行動支付帶來新威脅
根據英國每日電訊報報導指出,至少一家英國主要銀行對於Apple Pay收集用戶個人資訊及金融資料是感到不安的,這將會影響Apple Pay在2015年上半年在英國的推出,這些顧慮可能會蔓延至其他的市場。
雖然Apple Pay利用指紋辨識,Google Wallet 也有PIN碼以保障交易的安全,不過都尚需業者提出更具體的使用經驗,才能夠讓更多使用者採用。
金融威脅會更加嚴重
脆弱的安全認證機制將持續存在於銀行,零售業與銀行業將依然是主要的威脅目標。除了網路銀行之外,行動網路將成為新的目標,因為駭客將會推出行動網路的釣魚攻擊,使用假應用程式和網域名稱系統,來變更程式,我們也將會看到更為隱蔽的行動威脅,是使用類似一般電腦上的加殼程式。
更安全的措施
面對這型態的網路攻擊與資安威脅,我們可以有那些的具體作法呢?
從交易一旦進入銷售裝置機時,就開始加密。唯有得到解碼鑰匙的接受端才能授權得到資料。
缺點:網路交易並無相對應的機制。
這種是使用持卡人的簽名以作為認證的方式。利用卡片上的晶片,以提供第二層的認證。2012年開始,這種型態的卡片在美國、墨西哥、澳洲、紐西蘭、德國已越來越普遍了。這是最基本的生物辨識系統,不過簽名是可以仿造出來的,其安全性也是較差的。
缺點:需要更新及汰換磁條刷卡系統。
屬於認證強化的一種方式,特別包括了硬體設備式的動態密碼(One Time Password; OTP)、軟體式OTP、USB 鑰匙,及生物辨識等。OTP動態密碼顧名思義可知密碼是不固定的,其不可預測性、不會重複和一次有效性是目前最有效解決使用者認證方式之一,可以有效防範木馬程式、網路釣魚、間諜程式等多種駭客攻擊的問題。
缺點:會降低交易的速度
以往真實卡號在傳送到商家,到發卡組織及銀行之間是最容易受到攻擊的,特別是在商家的伺服器當中。而令牌化就是避免真實的卡號在網路上傳輸,縱使它是加密過的。令牌化是個單向的過程,以將信用卡卡號轉換成獨一無二的代號,儲存卡片上,以避免將真實的卡號傳送至零售商的系統,這令牌會在商家收到交易資訊時,產生出來並回傳到用戶端的卡片當中。
缺點:目前尚無共通的標準。
生物辨識成為新寵
將來,生物辨識技術將會很快進入我們的生活,就像上述的簽名認證方式也是生物辨識的一種,另外iPhone 5S之後機型所採用的指紋辨識,也是一項接受度極高的方式。雖然日前歐洲的駭客組織 Chao Computer Club 說他們利用一般相機得到德國國防部長的大拇指照片,成攻複製了他的指紋,雖然如此,畢竟此種方式便利,可靠度也極高,將來因應金融交易的行動化,行動裝置採用的比率將越來越多。
另外幾項辨識科技包括有:
- 人臉辨識:一般用於手機及腦,只要利用攝影機即可完成確認,不需接觸到身體,但成本較高。
- 語音辨識:利用人聲音特徵作為辨識,不過易受外界環境因素影響。
- 虹膜辨識:利用虹膜獨特性,及不易改變,準確度極高,辨識過程也極為快速。
- 靜脈辨識:以人體手掌靜脈分佈為樣本,不易受到外界因素影響。
- DNA辨識:以生物獨有的 DNA去做辨識,但步驟複雜,多應用於確認血緣關係。
是項差異化服務
一般認為在銀行與國防產業之外,資安預算將會有雙位數的成長,不僅企業及資訊主管持續關切此議題,包括顧客、政府及資安防範機構,都會投入更多經費。
在企業內部要統一資安語言,才能因應複雜度與挑戰的增高,也是要進行符合指標(Indicator of Compromise)的偵測,以整合資料的建立。企業也必須要在資料收集與使用上,以及資料被駭與誤用的風險,兩者必須做一平衡。企業必須要了解提供顧客資料安全保障也會是項差異化服務,透過實際的措施,將適當的隱私資料,保護、強化與關懷建立在企業的流程、產品與服務當中,相信此差異化服務將是企業極大的競爭優勢。