2020年科技趨勢大預測，資安首席揭露未來5年新威脅

　　2020年科技發(fā)展會有什么新樣貌?又會隨之帶來什么資安風險?趨勢科技資安研究部全球副總裁Rik Ferguson告訴你

　　犯罪究竟可不可以事先預防?可不可以透過事先的大資料分析，找到可能的犯罪嫌疑人并遏止可能的犯罪行為?好萊塢在2002年一出由湯姆克魯斯主演的“關(guān)鍵報告”中，設(shè)定在2054年科技發(fā)達，有一套可以事先偵測犯罪行為的“先知”系統(tǒng)，透過各種資料整合與系統(tǒng)追蹤分析，找到有犯罪意圖的嫌犯并事先逮捕。

　　電影雖然充滿科幻小說的想像情節(jié)，但實際上，有許多手法越來越精細復雜且難以偵測的網(wǎng)路犯罪，早就像是科幻小說的翻版，發(fā)生在現(xiàn)實社會中。

　　由國際網(wǎng)路安全防范聯(lián)盟(ISCPA)發(fā)起，歐洲國際刑警組織和趨勢科技共同參與的一份網(wǎng)路犯罪報告：2020專案(Project 2020)，就已經(jīng)描繪出，未來5年，不論是擴增實境及NFC技術(shù)的成熟，或者是云端DDoS攻擊的橫行，傀儡網(wǎng)路從現(xiàn)有的桌面端走向云端化，網(wǎng)路幫派斗爭不斷，甚至是實體數(shù)據(jù)中心的攻擊等，都是該份研究報告中，所指涉網(wǎng)路犯罪相關(guān)類型。

　　參與2020專案研究的趨勢科技資安研究部全球副總裁Rik Ferguson，本身也是“歐洲刑警組織”與“國際網(wǎng)路安全防范聯(lián)盟”的專案領(lǐng)導人之一。他說，這樣的網(wǎng)路犯罪趨勢下，要區(qū)分合法和非法活動，界線也變得越來越模糊，以刑事偵查的社交工程郵件為例，究竟是垃圾郵件還是合法的行銷郵件，行為都跟廣告郵件一樣，也越來越難以厘清。他認為，對于各國立法單位而言，必須可以詳細描繪出網(wǎng)路犯罪和行銷行為之間的區(qū)別，但是對司法調(diào)查單位而言，都必須具備足夠的犯罪調(diào)查能力，才有辦法做到后續(xù)的檢舉和起訴。

從2020專案看未來5年科技趨勢

　　Rik Ferguson表示，2020專案有一個假設(shè)前提，就是距今5年后，有許多現(xiàn)在看來很新穎、先進的IT應用技術(shù)，已經(jīng)普及到每個人的日常生活中。他強調(diào)，該專案中的新興科技，現(xiàn)在即使還是雛形，但卻是未來科技應用可能的想像。

　　2020專案將行動網(wǎng)路視為未來人人的生活必需品?，F(xiàn)在已經(jīng)有速度可以和實體線路比美的4G行動網(wǎng)路，也有新一代的5G網(wǎng)路醞釀中，到了2020年，行動網(wǎng)路是每個人隨時都可以存取的網(wǎng)路服務，傳輸速度快，包含影像、語音甚至是視訊功能使用的流暢度，行動網(wǎng)路頻寬都已經(jīng)可以滿足所需服務的品質(zhì)。

　　再者，擴增實境技術(shù)應用也將成熟，搭配具備定位和傳輸功能的戒指，以及高解析度的顯示器，使用者可以清楚在眼前看到3D影像。Rik Ferguson表示，到了2020年，行動電話中的擴增實境功能更為成熟，除了可以搭配頭戴式顯示器(Heads-Up Display，HUD)，將傳送的3D影像與現(xiàn)場景色整合在一起外，也提供隱形眼鏡式的顯示器選項。每個人可以透過手勢，選擇所需要的功能，不論是與遠方的朋友通話、線上購物等等，都可以使用手勢選擇;具備高解析度的視網(wǎng)膜顯示器更是主流產(chǎn)品。

　　結(jié)合擴增實境功能的顯示器，也會整合社交網(wǎng)路服務，使用者可以選擇對某些人顯示或隱藏某些個人資訊;即便遠在天涯的朋友，也可以透過視訊方式通訊。只不過，對特定人隱藏某些特定資訊或避免被打擾都是付費的服務，預設(shè)免費提供的社交或網(wǎng)路服務，往往就是透過交換或販售使用者的個人資訊獲利，使用者通常需要付費使用進階的過濾服務以避免被打擾。

　　2020年時，所有資料都透過各種感應裝置，持續(xù)回傳到內(nèi)容平臺中，有些不排斥的人，甚至還可以選擇在皮膚中植入類似RFID的晶片裝置，可以更方便、更沉默的回傳資訊到相關(guān)平臺。

　　數(shù)位時代更要重視個人資料所有權(quán)

　　5年后的科技，帶來了第一個沖擊就是隱私保護的議題?！皞€人數(shù)位隱私無價，即便到了2020年，數(shù)位隱私一樣重要?！盧ik Ferguson認為，數(shù)位時代的隱私保護已經(jīng)是每個人無法逃避的議題，像是在重視個人隱私的歐洲，現(xiàn)在就有法院要求Google必須尊重個人意愿，刪除網(wǎng)路上的數(shù)位資料和搜尋結(jié)果。

　　持續(xù)不斷累積的各種資料中，必須靠分析和整合，才能創(chuàng)造出資料的獨特價值。Rik Ferguson指出，在2020年時，每個人的數(shù)位資料都存放在內(nèi)容服務業(yè)者(Content Service Provide，CSP)的平臺中，使用者可以選擇提供多少的個人資料，換得更便利的服務。當然，有一些人，為了確保個人的數(shù)位隱私安全性，選擇較為昂貴的付費服務內(nèi)容，多數(shù)的內(nèi)容服務業(yè)者都已經(jīng)可以依照使用者的偏好，提供所需要的內(nèi)容服務，例如，如果你不喜歡逛酒吧反而喜歡逛藝廊，平臺業(yè)者就只會提供展覽而非酒吧促銷的資訊給使用者。

　　在2020年，Rik Ferguson表示，“賣資料將是一門好生意，”包括個人資料和數(shù)據(jù)是允許被販售的，不論是好人壞人都需要好資料，當使用者愿意交換個人資料取得更便利的服務時，也必須尊重不愿意提供資料的使用者意愿。因為，使用者才是資料真正的主人，才有權(quán)決定資料如何被使用?！耙虼耍?020年，每個人都要更重視個人資料所有權(quán)?！彼f。

　　現(xiàn)在，多數(shù)人可以分析處理的資料，都和個人經(jīng)驗與行為相關(guān)，但隨著分析技術(shù)的成熟，Rik Ferguson指出，5年后，分析技術(shù)將更拓展到“情緒變化”。也就是說，到2020年，已經(jīng)有分析軟體可以分析個人的情緒好壞，進而建議適合的采購商品或廣告。“隨著各種分析技術(shù)的成熟，也讓每個人連同心情，都可能完全暴露在數(shù)位網(wǎng)路中?！彼f。

　　資料的交換、分析和使用過于頻繁，使用者也必須更在意內(nèi)容服務業(yè)者究竟怎么使用資料，因此，在2020年，定期的資料使用報表將成為常態(tài);更有甚者，隨著每個人都生活在數(shù)位網(wǎng)路時代，因為網(wǎng)路上的信任相對薄弱，每個人為了要獲得他人的信任，身分認證管理與信譽評等就顯得相當重要，甚至于，好的信譽評等也成為數(shù)位時代中可以換錢、買東西的工具。

　　Rik Ferguson說：“類似的身分管理和信譽評等機制的興起，也只是反應每個人在數(shù)位時代中的脆弱與渺小?！鄙踔劣?，到2020年，所有的金融服務全都朝向行動化、云端化發(fā)展，到銀行領(lǐng)錢已經(jīng)極為罕見。

　　5年后，所有的服務都已經(jīng)在線上化，所有的裝置也都連網(wǎng)。Rik Ferguson表示，現(xiàn)在許多人推廣的IoT(Internet of Things，物聯(lián)網(wǎng))裝置，風險其實比IoE(Internet of Everything)還低，主要是，IoT處理器功能受限，許多制造商甚至沒有提供直接操控的介面，在搶市占率、獲得市場青睞的同時，安全永遠不是IoT首要關(guān)注的焦點。因此，他認為，多數(shù)的IoT甚至是IoE相關(guān)的制造商，在產(chǎn)品設(shè)計之初，就應該內(nèi)建或預設(shè)安全議題。

　2014年是大量資料外泄的一年

　　Rik Ferguson從2020專案中得出一些觀察，在因應未來威脅之前，要先了解目前的資安考驗為何，因此，只要能掌握一些資安關(guān)鍵議題，就能知道如何因應相關(guān)的資安威脅。像是，如何了解網(wǎng)路中誰持有哪些資料，且持有多久?有哪些人濫用或合法使用資料?許多資料使用是否與原先的使用目的相符?執(zhí)政當局提供的資料存取方式，是否可以確保資料的安全性?如果資料有損失，由誰承擔資料損失的風險?有誰提供金錢或資料復原的補救措施呢?又由誰負責網(wǎng)路、服務和應用程式之間的安全性?目前有哪些技術(shù)可以確保這些網(wǎng)路、服務和應用程式在執(zhí)行環(huán)境中的安全性等?只要可以掌握這類關(guān)鍵問題，也就可以確保有能力因應資安威脅的。

　　有人說，2014年是網(wǎng)路被駭年(The year of hack)，但Rik Ferguson認為，2014是大量資料外泄的一年，且APT(先進持續(xù)性威脅)的攻擊也未見減少。他表示，許多政府和大型企業(yè)面臨APT攻擊時，潛在的風險則是頻繁的駭客活動和偷資料的木馬程式，帶來大量、有價值的資料遺失。

　　更有甚者，網(wǎng)路犯罪已經(jīng)形成一種新的云端服務類型(Crime as a Service )，成為一種網(wǎng)路作戰(zhàn)的工具;也有越來越多使用嵌入式系統(tǒng)(Embedded System)的硬體裝置，例如POS機(端點銷售系統(tǒng))，將面臨新的網(wǎng)路風險，例如，偷信用卡資料的惡意程式，而這些新威脅也將帶來更多受害者，駭客會利用更多方式隱匿自身攻擊行為，并運用假的憑證取得信任;其他許多線上金融服務也會面臨更多攻擊和帳密與金錢的竊取。

　　攸關(guān)國家關(guān)鍵基礎(chǔ)建設(shè)(CIP)和關(guān)鍵資訊基礎(chǔ)建設(shè)(CIIP)，也一直都是駭客攻擊的目標;社交網(wǎng)路的普及，讓駭客更容易透過各種社交工程手法，針對特定對象取得所需要的資料。Rik Ferguson表示，上述的網(wǎng)路威脅，迫使各國政府希望能夠立法面對新型態(tài)的網(wǎng)路威脅。

　　相較于2014年的資料外泄或被駭風險，Rik Ferguson認為，在利之所趨的行為下，“2015年國家級的網(wǎng)路犯罪行為減少，但企業(yè)面臨的風險卻大增。”

　　知己知彼、百戰(zhàn)不殆

　　Rik Ferguson認為，若可以理解威脅的由來，就比較容易知道如何應對。首先，殺頭的生意有人做、賠錢的生意沒人做，理解駭客入侵的目的就是為了要賺取實質(zhì)的金錢利益。他指出，早期駭客的攻擊入侵多數(shù)是為了打打知名度，但現(xiàn)在，駭客入侵一定要有實質(zhì)獲利才會做。

　　其次，駭客入侵且愿意長期潛伏的目的是為了攔截情報。Rik Ferguson指出，許多網(wǎng)路間諜不論潛藏多久，都是為了獲取更多機敏資料。

　　駭客最終目的要取得資料，Rik Ferguson說，“不論是竊取或者是銷毀資料，擁有資料的主導權(quán)，就是駭客最終的目的?！彼硎?，駭客有機會濫用電腦運算效能時，就等于增強駭客的攻擊能力。因為網(wǎng)路的信任是相當脆弱的，Rik Ferguson指出，一旦原本信任的憑證或工具被偽冒，就足以破壞網(wǎng)路原本脆弱的信任感，嚴重時，可能毀壞原本正常的網(wǎng)路運作。

　　Rik Ferguson認為，每個資安人員都應該研究2020專案，找出未來的科技發(fā)展趨勢與威脅，從中培養(yǎng)面對未來資安威脅的預期心態(tài)，如果每個人做好心理準備，就能夠培養(yǎng)展望未來網(wǎng)路與資安風險的應變能力。