今日頭條
官方微信
官方抖音
資訊頻道在2018這一年里,幾乎每個(gè)月都有安全事件發(fā)生。例如前陣子鬧得沸沸揚(yáng)揚(yáng)的萬(wàn)豪酒店集團(tuán),又或是更早些的英特爾“Meltdown”和“Spectre” 兩大新型漏洞,F(xiàn)acebook用戶數(shù)據(jù)泄露以及蘋(píng)果iOS iboot源碼泄露等等。那么到了2019年,網(wǎng)絡(luò)安全局勢(shì)又會(huì)怎樣發(fā)展呢?
想必各位還記得“微信支付”勒索病毒事件,要知道2017年剛曝出WannaCry時(shí),還只支持比特幣支付贖金,而現(xiàn)在,不僅有漢化版的勒索說(shuō)明,更出現(xiàn)了微信支付贖金的方式。到了2019年,勒索軟件活躍度相對(duì)將有所下降,但破壞性仍持續(xù)上升,呈現(xiàn)集中且更具針對(duì)性的發(fā)展趨勢(shì)。
相比勒索軟件這種正大光明的攻擊方式,不法分子更青睞利用惡意挖礦腳本和軟件直接獲取收益。顯然,各類軟/硬件所暴露出來(lái)的漏洞,已然成為玩惡意插件的樂(lè)員,植入惡意挖礦插件的成本越來(lái)越低。實(shí)際上,在過(guò)去一年間受到挖礦腳本困擾的用戶數(shù)量增加了44.5%,并將在2019年繼續(xù)擴(kuò)大,對(duì)于各類業(yè)務(wù)的破壞也會(huì)進(jìn)一步加強(qiáng),只要加密貨幣還有價(jià)值,不法分子就會(huì)一直盯著這塊“蛋糕”。
從美國(guó)廢棄網(wǎng)絡(luò)中立原則,到歐盟出臺(tái)GDPR(通用數(shù)據(jù)保護(hù)規(guī)范),以及近日澳大利亞新設(shè)立的反加密網(wǎng)絡(luò)法等等系列措施,不難看出各國(guó)對(duì)于網(wǎng)絡(luò)與數(shù)據(jù)安全的政策正在一步步收緊,從側(cè)面也反映出各國(guó)政府對(duì)網(wǎng)絡(luò)安全問(wèn)題的不安。但與此同時(shí),多國(guó)政策也加速了網(wǎng)絡(luò)的巴爾干化,由于數(shù)據(jù)不互通,缺少全球性的聯(lián)動(dòng),使得網(wǎng)絡(luò)安全正在被孤立起來(lái)。未來(lái),這一形勢(shì)恐怕還將繼續(xù)加深,像多米諾一樣帶來(lái)可怕的連鎖反應(yīng)。
針對(duì)數(shù)據(jù)安全,2019年開(kāi)始,不法分子將從竊取數(shù)據(jù)向操縱數(shù)據(jù)轉(zhuǎn)變。換言之,就是從純粹的數(shù)據(jù)竊取、網(wǎng)站入侵,向攻擊數(shù)據(jù)完整性轉(zhuǎn)變。比起簡(jiǎn)單的數(shù)據(jù)竊取,后者的攻擊通過(guò)讓人們質(zhì)疑相關(guān)數(shù)據(jù)的完整性而對(duì)個(gè)人或群體造成長(zhǎng)期的聲譽(yù)損害。
頻頻發(fā)生的個(gè)人賬號(hào)被盜,已經(jīng)向我們發(fā)出預(yù)警,單一的身份驗(yàn)證已不能很好的保護(hù)我們得賬號(hào)安全。因此,未來(lái)多重身份驗(yàn)證將成為所有在線交易的標(biāo)準(zhǔn)。盡管多因素身份驗(yàn)證并非最完美的解決方案,但大多數(shù)的網(wǎng)站和在線服務(wù)將在2019年放棄只使用密碼的訪問(wèn)機(jī)制,同時(shí)增加其他必需或可選的身份驗(yàn)證方法,已越來(lái)越多的供應(yīng)商都在部署不同的身份驗(yàn)證體系,但在統(tǒng)一標(biāo)準(zhǔn)化的流程全面普及之前,情況不會(huì)太樂(lè)觀。
另外,賬號(hào)被盜也使攻擊者所掌握的個(gè)人信息維度更多,因此他們將能發(fā)起更具針對(duì)性的網(wǎng)絡(luò)釣魚(yú)攻擊,且成功率更高。其中,魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)手段正在變成從入侵電子郵件系統(tǒng)開(kāi)始,進(jìn)而潛伏并研究用戶,豐富攻擊者的信息,之后利用經(jīng)常溝通的社交圈人際關(guān)系和信任發(fā)動(dòng)攻擊。當(dāng)中,抵押貸款詐騙又是魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的重災(zāi)區(qū),尤以購(gòu)房者會(huì)騙居多,款項(xiàng)巨大且很難被追回。
鑒于此,未來(lái)對(duì)CSO和CISO的要求也將越來(lái)越高,網(wǎng)絡(luò)安全教育行業(yè)也會(huì)變得愈發(fā)成熟,單憑一紙證書(shū)證將不再能夠支持專業(yè)人員在其職業(yè)生涯中輕松前進(jìn),現(xiàn)階段大雜燴一樣的培訓(xùn)市場(chǎng)和體系也將被整治,取而代之的是更多科班出身的從業(yè)人員擔(dān)任首席信息安全官。
隨著聯(lián)網(wǎng)設(shè)備數(shù)量的劇增,以及人工智能進(jìn)一步應(yīng)用,很難說(shuō)未來(lái)有人工智能不會(huì)助力網(wǎng)絡(luò)攻擊,而有人工智能的加入將能夠幫助攻擊者模仿特定用戶的行為,甚至欺騙熟練的安全人員。其攻擊行為可能包括實(shí)施復(fù)雜的、定制化的網(wǎng)絡(luò)釣魚(yú)活動(dòng),這些活動(dòng)將成功欺騙我們。
最后我們想說(shuō),如今數(shù)字邊界正在遭受來(lái)自各方的安全考驗(yàn),而2019年的網(wǎng)絡(luò)安全局勢(shì)也并不樂(lè)觀。
來(lái)源:太平洋網(wǎng)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)