2016年企業面對新IT的保安挑戰,據據網路安全廠商Symantec數據保安業務經理Nick Savvides預測,IT保安形勢,可能出現以下八項變化:
1. 消費者購買更多穿戴式設備,故此物聯網的保安更為迫切。據研究機構Gartner 估計,2020年以前全球有三十億件物件互聯。目前,針對Android平台的攻擊已不斷上升,針對醫療設備攻擊也開始浮現,例如心搏器和胰島素泵的作業系統都可受人侵。
2. 蘋果各項設備成為攻擊目標。目前蘋果iPhone電話佔全球智能手機的13.5%佔有率,個人電腦則佔7.5%,規模足以令攻擊帶來可觀利潤。過去十八個月,針對蘋果Mac OS X或iOS惡意程式大增,蘋果設備今後難再獨善其身,免受病毒困擾。
3. 過去一年,勒索程式(Ransomware)大行其道;從俄語國家興起,席卷西歐、美國、加拿大、澳洲、近期入侵亞洲地區。勒索軟件必須靠惡意程式(Malware)散佈網絡,才能成功入侵用戶電腦,然後加密硬盤,再提贖金要求。傳統上,惡意程式業務以秘密入侵為主,然後盗取資料。但勒索程式的入侵手法卻甚張揚,影響惡意程式業務模式。兩幫匪徒犯罪手法矛盾,已導致彼此分道揚鑣。今年勒索程式匪徒大有機會另起爐灶,建立本身專用網絡。
4. 網絡攻擊和數據外洩事故,推動網絡保險市場出現。各國政府可能立法,要求企業就外洩事故作公開反應。網絡罪犯又利用盗取得來資料犯罪,造成鉅大金錢損失,引發更多賠償個案。企業無法以IT保安轉嫁所有風險,購買保險是減少損失的可行途徑之一。
5. 針對「關鍵基建設施」(Critical Infrastructure)攻擊風險上升。去年,針對電力、通訊、交通設施攻擊,已經有上升趨勢。此等攻擊通常與地緣政府或勒索贖金有關;工業物聯網令襲擊面更大,防禦更疲於奔命。
6. 數據加密的需求大升。系統和用戶於網上的通訊增加,唯有靠加密數據才能保護資訊。各類通訊之中,又以流動通訊最有機會成受襲目標,因為用戶於流動設備中,儲存了大量個人及具價值的資料。
7. 大規模採用生物認證,取代密碼登入認證的時機經已成熟。過去兩年,生物認證(biometrics)應用範圍擴大,尤其手機以指紋和臉部認證,加上PKI機制保護免認證遭竄改,足以減少用戶依賴密碼。用戶可以生物特徵,更方便登入系統和進行付費,同時改善風險管理。
8. 以遊戲方式及模擬訓練提高用戶警覺性更趨普遍。網絡保安靠先進技術配合,但若用戶缺乏警覺,容易墮入陷阱,技術再高超也屬徒然。匪徒開始利用社交網絡,誘騙用戶登入假網站或打開惡意程式。因此,Symantec 積極開發以遊戲和模擬方式的訓練產品,時刻提高用戶意識,減少中招機會。
沒有留言:
發佈留言