就網路安全而言,2019 年是相當有意思的一年,這一年內發生了許多資料外洩事件,人們因此越來越重視網路安全的重要性,或許也讓業界人士開始正視這方面的問題。
2020 年還會如此嗎?企業是否會開始積極採用專業資安人士多年來談論不休的解決方案呢?時間會證明一切,不過,進入 2020 年後,駭客改弦易轍的可能性極低 (既然有用又何必改變呢?)。他們的手法會隨著科技的發展而更加複雜高明,而且目標會隨著可用資料所在位置而調整 (例如,既然美國地區的 ISP 能利用客戶的資料賺錢,這裡成為駭客下手目標的可能性就很大)。不出我所料......這會導致我們最需要擔心的網路安全問題。
遭駭客盯上的公司持有珍貴的資料,也就是具有販賣價值或可以當成勒索籌碼的資料,因此,自然容易發生資料外洩問題。資料存放庫是容易吸引網路罪犯下手的目標,因為網路罪犯擅長迅速利用人為錯誤和其他漏洞,比方說,他們會用無辜資安人員同樣也用的入侵檢測工具,將修補軟體的時間往後延。到了 2020 年,這一點恐怕仍然如昔。
不過,2020 年也將全面實施諸如歐盟 GDPR 之類的監管法規。我必須特別強調,除了少數例外,不在歐盟境內的公司行號也必須遵守規範。 加州消費者隱私保護法 (California Consumer Privacy Act,CCPA) 幾乎是美國版的 GDPR,此項法案將在 2020 年 1 月生效。另有幾個國家/地區已經採行了類似的資料保護法,要求公司行號重視營運作業中的資料隱私權及相關網路安全流程。公司行號之所以會照做,絕大部分是因為擔心資料外洩導致聲譽受損,也怕遭到罰款。可惜,資安技術的不足往往導致資料外洩防範措施窒礙難行。
網路安全人員是個供不應求的職務。業界普遍認為,在 2021 年來臨之前,全世界將出現超過 350 萬個網路安全人員職缺。僱主們會不會願意在 2020 年投入時間與精力對既有的資安人員進行訓練,以利他們掌握更多資安技術呢?也許,僱主會降低准入門檻,讓已經具備一定 IT 技能的人員接受再次訓練,瞭解需要強化的資安領域?
公司行號也有可能會選擇外包,付錢找人在遠端加強公司的安全防護措施,或者運用基於 AI 的軟體解決方案進行漏洞評估。
如果要我預測......我雖不是預言家諾斯特拉達姆斯 (Nostradamus),但我認為,許多公司行號仍然不會大手筆投資在員工身上 (當然也有可能單純是因為預算短絀),原因也許是企業擔心員工受訓後變得更搶手,因而有機會另謀高就。但願事實並非如此,不過我相信,重視員工的公司一定會加強訓練。倘若公司加強訓練,可以選擇的國際認證有很多。
無論如何,每家公司都需要透過增聘員工、訓練在職員工或外包等方式加強網路安全。
網路安全是一項炙手可熱的技術,可以算是鐵飯碗,但在很大程度上,高層主管仍承擔著風險。一旦發生資料外洩,「辭職以示負責」或遭到解僱的往往會是資訊長 (CIO) 或安全長 (CSO)。試想,若員工容易成為網路釣魚或勒索軟體攻擊的受害者,並且管理者得上斷頭台當犧牲品,那麼在中層資安員工眼裡,哪還會有爭取擔任主管的動力?2020 年開始,發生資料外洩事件時,會不會讓該直接負責的人承擔責任,而不會再為了控管損失而讓高層主管出面扛責呢?
公司建立的端點越多,網路罪犯有機可乘的攻擊漏洞就越多。很合理,但怪怪的,對吧?
2020 年開始,希望公司只新增維持業務運作所必需的端點,並且願意重新斟酌 BYOD 的優點。
傳統的使用者/密碼驗證方式本來就有弱點,因此,預計新一代的驗證技術會更加先進。其實有許多可行的選擇,多重要素驗證和生物辨識只是其中的兩個例子。請注意,要規避面部、語音和指紋辨識機制並不難,更改密碼或 Token 的問題遠不如資料外洩嚴重。運用網路 Token 和類似的方法也可行,但是,這些方法全都是錦上添花,前提是進行這類驗證所需的資料本來就安全無虞。駭客會利用這些資料規避驗證機制。
我的最後一項預測涉及風險管理。資料外洩現象越來越頻繁普遍,目標產業內的公司即便遵循安全防護最佳實務,往往還是容易因為駭客對其網路進行的集中攻擊而遭到入侵。要降低資料外洩引發的財務風險,投保網路保險是其中一種方法,而監管法規不分管轄區,只要不遵守,就有可能遭到罰款,因此,投保網路保險現在更成為越來越重要的趨勢。
我相信,網路保險投保的發展到了 2020 年會水漲船高,如果保險公司提供的保單能證明他們對於網路安全態勢及公司所面臨的相關威脅暸若指掌,自然會更搶手,但若這類保險只理賠服務中斷或設備故障損失,保障絕對不夠。網路保險越普及,投保成本就該越低......當然,保費高低取決於公司現行的安全防護措施,且承保網路風險也有其難度,因為相關變數實在很大。
總歸一句話,網路安全趨勢預測純粹只是預測。關於安全意識訓練不足/人為疏失導致公開的資料外洩這方面,變化應該不會太大。到了 2020 年,主要差別在於客戶現在會認為自己的資料已受到妥善保護,也樂見沒有做好安全防護措施的公司受罰。公司行號或許應該趁著 2020 年重新評估應該儲存多少與使用者相關的資料,以及應該將這類資料儲存在何處......
在 2020 年,可能會有更多的公司運用 AI/機器學習偵測及防堵威脅;屆時,駭客也會運用 AI 技術開發出新的攻擊方式。遊戲還是要繼續玩下去......無論 2020 年發生什麼事,有兩點是不爭的事實;網路安全對公司而言只會越來越重要,而且所有會連上公司網路的人員都必須加強安全意識,因為網路釣魚和勒索軟體攻擊將會越來越複雜難解。