还有十多天,整个2018年就要过去了,然而我们却过得并不太平。在这一年里,几乎每个月都有安全事件发生。例如前阵子闹得沸沸扬扬的万豪酒店集团,又或是更早些的英特尔“Meltdown”和“Spectre”两大新型漏洞,Facebook用户数据泄露以及苹果iOS iboot源码泄露等等。那么到了2019年,网络安全局势又会怎样发展呢?
想必各位还记得“微信支付”勒索病毒事件,要知道2017年刚曝出WannaCry时,还只支持比特币支付赎金,而现在,不仅有汉化版的勒索说明,更出现了微信支付赎金的方式。到了2019年,勒索软件活跃度相对将有所下降,但破坏性仍持续上升,呈现集中且更具针对性的发展趋势。
根据卡巴斯基的统计,2017至2018年遭遇勒索软件攻击的用户数量相比2016至2017年下降了近三成。赛门铁克也曾表示,拥有复杂勒索软件攻击能力的网络犯罪集团,现更关注那些与市政、医疗机构有关的美国公司。
此外,相比勒索软件这种正大光明的攻击方式,不法分子更青睐利用恶意挖矿脚本和软件直接获取收益。显然,各类软/硬件所暴露出来的漏洞,已然成为玩恶意插件的乐员,植入恶意挖矿插件的成本越来越低。实际上,在过去一年间受到挖矿脚本困扰的用户数量增加了44.5%,并将在2019年继续扩大,对于各类业务的破坏也会进一步加强,只要加密货币还有价值,不法分子就会一直盯着这块“蛋糕”。
从美国废弃网络中立原则,到欧盟出台GDPR(通用数据保护规范),以及近日澳大利亚新设立的反加密网络法等等系列措施,不难看出各国对于网络与数据安全的政策正在一步步收紧,从侧面也反映出各国政府对网络安全问题的不安。但与此同时,多国政策也加速了网络的巴尔干化,由于数据不互通,缺少全球性的联动,使得网络安全正在被孤立起来。未来,这一形势恐怕还将继续加深,像多米诺一样带来可怕的连锁反应。
针对数据安全,2019年开始,不法分子将从窃取数据向操纵数据转变。换言之,就是从纯粹的数据窃取、网站入侵,向攻击数据完整性转变。比起简单的数据窃取,后者的攻击通过让人们质疑相关数据的完整性而对个人或群体造成长期的声誉损害。
频频发生的个人账号被盗,已经向我们发出预警,单一的身份验证已不能很好的保护我们得账号安全。因此,未来多重身份验证将成为所有在线交易的标准。尽管多因素身份验证并非较完美的解决方案,但大多数的网站和在线服务将在2019年放弃只使用密码的访问机制,同时增加其他必需或可选的身份验证方法,已越来越多的供应商都在部署不同的身份验证体系,但在统一标准化的流程全面普及之前,情况不会太乐观。
另外,账号被盗也使攻击者所掌握的个人信息维度更多,因此他们将能发起更具针对性的网络钓鱼攻击,且成功率更高。其中,鱼叉式网络钓鱼手段正在变成从入侵电子邮件系统开始,进而潜伏并研究用户,丰富攻击者的信息,之后利用经常沟通的社交圈人际关系和信任发动攻击。
当中,抵押贷款诈骗又是鱼叉式网络钓鱼攻击的重灾区,尤以购房者会骗居多,款项巨大且很难被追回。通常,攻击者会先入侵抵押贷款人(或代理人)的电脑,记录所有即将执行或待定的交易及其截止日期。然后,代理人通常会发送电子邮件告知客户将资金发往哪里,这个时候欺诈就发生了。
鉴于此,未来对CSO和CISO的要求也将越来越高,网络安全教育行业也会变得愈发成熟,单凭一纸证书证将不再能够支持专业人员在其职业生涯中轻松前进,现阶段大杂烩一样的培训市场和体系也将被整治,取而代之的是更多科班出身的从业人员担任首席信息安全官,比如网络安全硕士。
随着联网设备数量的剧增,以及人工智能进一步应用,很难说未来有人工智能不会助力网络攻击,而有人工智能的加入将能够帮助攻击者模仿特定用户的行为,甚至欺骗熟练的安全人员。其攻击行为可能包括实施复杂的、定制化的网络钓鱼活动,这些活动将成功欺骗我们。
较后我们想说,如今数字边界正在遭受来自各方的安全考验,而2019年的网络安全局势也并不乐观。
第二十八届CIO班招生
法国布雷斯特商学院MBA班招生 法国布雷斯特商学院硕士班招生
