IDG CSO編輯部 陳琳華

CSO網(wǎng)站今年再次對(duì)未來(lái)12個(gè)月可能發(fā)生的重大事件或趨勢(shì)進(jìn)行了預(yù)測(cè)，表達(dá)了我們對(duì)明年信息安全世界的期望和擔(dān)憂。

預(yù)測(cè)一向很難，在混亂的網(wǎng)絡(luò)安全世界中進(jìn)行預(yù)測(cè)更是難上加難。當(dāng)前威脅的類型很多，攻擊性和防御性技術(shù)也在快速發(fā)展。由國(guó)家支持的網(wǎng)絡(luò)攻擊在范圍和復(fù)雜程度方面均呈持續(xù)增長(zhǎng)的勢(shì)頭。

這種網(wǎng)絡(luò)“戰(zhàn)爭(zhēng)迷霧”使得人們很難看清或是正確評(píng)估每個(gè)趨勢(shì)。例如，CSO網(wǎng)站2017年在對(duì)2018年的預(yù)測(cè)中就沒(méi)能預(yù)料到“加密貨幣挖礦”威脅的快速上升。事后看來(lái)，這種通過(guò)相對(duì)容易實(shí)施的低風(fēng)險(xiǎn)網(wǎng)絡(luò)犯罪即可實(shí)現(xiàn)非法獲利的方法應(yīng)該是不法分子的理想選擇。

盡管如此，CSO網(wǎng)站還是成功地預(yù)測(cè)了一些趨勢(shì)。例如，威脅檢測(cè)流程的自動(dòng)化程度越來(lái)越高，使用受破壞的物聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊的數(shù)量顯著增長(zhǎng)，網(wǎng)絡(luò)犯罪的不斷增長(zhǎng)導(dǎo)致社會(huì)信任度下降。

CSO網(wǎng)站在2018年再次對(duì)未來(lái)12個(gè)月可能發(fā)生的重大事件或趨勢(shì)進(jìn)行了預(yù)測(cè)。 以下為其中排名前八位的趨勢(shì)。

1. 勒索軟件逐漸減少，但破壞力仍然驚人

隨著犯罪分子轉(zhuǎn)而以其他方式非法謀利，勒索軟件將逐漸減少。CSO高級(jí)職員Steve Ragan稱：“雖然勒索軟件仍然是嚴(yán)重的問(wèn)題，但是它們將很大程度上轉(zhuǎn)變成為一種更具針對(duì)性的攻擊?！备鶕?jù)卡巴斯基的統(tǒng)計(jì)，在2017年和2018年遭到勒索軟件攻擊的用戶在數(shù)量上比2016年至2017年期間下降了近30%。

Ragan指出“盡管隨機(jī)性下降了，但是它們選擇的目標(biāo)都是一些社會(huì)關(guān)注度極高的目標(biāo)”。賽門鐵克稱，SamSam勒索軟件背后的黑客組織目前正重點(diǎn)關(guān)注美國(guó)境內(nèi)一些數(shù)量相對(duì)較少的組織機(jī)構(gòu)，例如市政和醫(yī)療保健機(jī)構(gòu)。

勒索軟件威脅下降的原因是犯罪分子找到了加密貨幣劫持和其他更快捷的非法牟利之道?，F(xiàn)有的加密貨幣挖礦工具的數(shù)量和質(zhì)量意味著犯罪分子不需要熟練的技術(shù)?？ò退够J(rèn)為，在過(guò)去一年中受到過(guò)加密貨幣挖礦攻擊的用戶數(shù)量增加了44.5%這一事實(shí)恰恰反映了這一點(diǎn)。CSO的專家David Strom稱：“秘密挖礦軟件在2019年將持續(xù)激增，惡意軟件作者將利用它們來(lái)侵害用戶的業(yè)務(wù)。只要攻擊者能夠從傳播中迅速攫取不義之財(cái)，那么加密貨幣挖礦攻擊就將會(huì)持續(xù)成為威脅?！?/p>

2.隱私監(jiān)管和公眾情緒將推動(dòng)數(shù)據(jù)保護(hù)政策

CSO在2017年預(yù)測(cè)，歐盟將會(huì)迅速處罰一批違反《通用數(shù)據(jù)保護(hù)條例》（GDPR）的公司以儆效尤，但實(shí)際情況是上述預(yù)測(cè)并沒(méi)有發(fā)生。盡管如此，對(duì)于泄露個(gè)人信息的行為進(jìn)行處罰的風(fēng)險(xiǎn)在2019年將對(duì)企業(yè)的安全運(yùn)營(yíng)產(chǎn)生巨大影響。

這類罰單可能很快就會(huì)開(kāi)出。CSO資深撰稿人J.M. Porup認(rèn)為，“歐盟將會(huì)利用GDPR從嚴(yán)從重處理幾家公司。從2019年上半年開(kāi)始，執(zhí)法將變得格外嚴(yán)格。涉嫌從事監(jiān)視行為的公司，如谷歌和Facebook未來(lái)幾年的日子可能會(huì)不太好過(guò)。目前相關(guān)部門已收到了大量投訴，其中一些投訴的對(duì)象就是谷歌和Facebook?！?/p>

歐盟在2019年對(duì)這些投訴的回應(yīng)方式將進(jìn)一步詮釋GDPR和其他的隱私法規(guī)中的規(guī)定。如果GDPR沒(méi)有做出回應(yīng)，那也就說(shuō)明了，企業(yè)不用認(rèn)真對(duì)待這些監(jiān)管。

由于人們對(duì)企業(yè)如何使用和保護(hù)個(gè)人信息日益關(guān)注，這使得越來(lái)越多的人認(rèn)為企業(yè)應(yīng)當(dāng)承擔(dān)起更多的責(zé)任。CSO撰稿人Roger Grimes稱：“層出不窮的安全漏洞和其他不道德的信息披露促使消費(fèi)者要求更多的默認(rèn)隱私，并且能夠掌控自己的信息?！?/p>

Grimes預(yù)測(cè)美國(guó)將于2019年在全國(guó)范圍內(nèi)制定類似GDPR的隱私法。目前《加利福尼亞州消費(fèi)者隱私法案》已通過(guò)成為了法律，并將于2020年生效。美國(guó)參議員Ron Wyden在2018年11月1日已提交了《消費(fèi)者數(shù)據(jù)保護(hù)法案》（CDPA）。該法案將對(duì)侵犯隱私權(quán)的行為進(jìn)行嚴(yán)厲處罰，包括入獄。鑒于美國(guó)聯(lián)邦政府目前的狀態(tài)，該法案不太可能獲得太多關(guān)注。與此同時(shí)，在美國(guó)大多數(shù)處理消費(fèi)者數(shù)據(jù)的組織機(jī)構(gòu)將尋求以GDPR和CCPA等法規(guī)作為指導(dǎo)。Porup認(rèn)為“盡管華盛頓并不積極，但是加州和紐約將繼續(xù)圍繞消費(fèi)者數(shù)據(jù)隱私展開(kāi)協(xié)商?！?/p>

CSO撰稿人Maria Korolov稱：“企業(yè)將會(huì)開(kāi)始認(rèn)真考慮隱私優(yōu)先的數(shù)據(jù)方案，特別是當(dāng)這些法律擴(kuò)展到更多的轄區(qū)和特定的垂直行業(yè)時(shí)，如銀行、醫(yī)療和支付行業(yè)。這些需要企業(yè)對(duì)收集、使用和共享數(shù)據(jù)的方式做出一些重大改變。”

3.國(guó)家對(duì)個(gè)人的攻擊和監(jiān)視將會(huì)增多

背后有國(guó)家支持或贊助的針對(duì)記者、不同政見(jiàn)者和政治家的網(wǎng)絡(luò)攻擊將繼續(xù)增長(zhǎng)。有相似意向的政府將對(duì)發(fā)生在自己境內(nèi)的此類攻擊視而不見(jiàn)。

國(guó)家監(jiān)視本國(guó)公民的最惡劣案例可能要數(shù)沙特記者卡舒吉案件了。以色列《國(guó)土報(bào)》報(bào)道稱，沙特政府在卡舒吉停留加拿大期間使用了以色列的網(wǎng)絡(luò)武器對(duì)其進(jìn)行了追蹤。

以色列政府似乎是其他政府監(jiān)視本國(guó)公民的主要技術(shù)出口國(guó)?！秶?guó)土報(bào)》報(bào)道的另一則新聞稱，多個(gè)國(guó)家正在使用以色列的軟件來(lái)監(jiān)視不同政見(jiàn)者和同性戀者。

4.微軟將在其所有主流產(chǎn)品中內(nèi)置高級(jí)威脅防護(hù)（ATP）

Windows 10高級(jí)威脅防護(hù)（ATP）服務(wù)允許任何擁有E5許可證的人查看底層操作，了解攻擊者對(duì)系統(tǒng)所做的操作。該服務(wù)基于遙測(cè)，當(dāng)計(jì)算機(jī)連接到ATP服務(wù)時(shí)即啟動(dòng)。

為了打造重視安全性的品牌形象，微軟將繼續(xù)不遺余力地為所有Windows版本設(shè)置ATP標(biāo)準(zhǔn)。CSO的Windows專家Susan Bradley說(shuō)：“這將成為客戶明年選擇Windows產(chǎn)品而不是IBM紅帽的一個(gè)關(guān)鍵賣點(diǎn)?！?/p>

5.多因素身份驗(yàn)證將成為所有在線交易的標(biāo)準(zhǔn)

雖然遠(yuǎn)非完美的解決方案，但是大多數(shù)網(wǎng)站和在線服務(wù)仍將會(huì)放棄單一的密碼登錄方式，轉(zhuǎn)而使用指定的或可選的身份驗(yàn)證方法。一段時(shí)期內(nèi)，不同形式的多因素身份驗(yàn)證可能會(huì)使用戶感到困惑和無(wú)所適從。

Bradley認(rèn)為“僅使用密碼進(jìn)行身份驗(yàn)證會(huì)讓我們面臨的網(wǎng)絡(luò)釣魚(yú)等攻擊的風(fēng)險(xiǎn)越來(lái)越大。但事實(shí)上，所有廠商都在針對(duì)身份驗(yàn)證部署不同的系統(tǒng)，這意味著對(duì)雙因素身份驗(yàn)證的管理將會(huì)把用戶逼瘋。在更為標(biāo)準(zhǔn)化的流程出現(xiàn)之后，情況才會(huì)好轉(zhuǎn)。”

至少?gòu)S商方面已經(jīng)在開(kāi)始制定相關(guān)的標(biāo)準(zhǔn)。Strom稱：“FIDO2瀏覽器增強(qiáng)功能和Duo/思科收購(gòu)將會(huì)起到?jīng)Q定性的推動(dòng)作用。預(yù)計(jì)明年將會(huì)出現(xiàn)更多的創(chuàng)新，這些創(chuàng)新將讓雙因素身份驗(yàn)證的使用更加便捷，更具吸引力?！?/p>

6.魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)更具針對(duì)性

攻擊者知道他們擁有你的信息越多，他們就越能成功地對(duì)你發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊。有些戰(zhàn)術(shù)會(huì)令人有點(diǎn)毛骨悚然。Grimes稱：“魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的一個(gè)變化趨勢(shì)是，為了開(kāi)展網(wǎng)絡(luò)釣魚(yú)行動(dòng)，黑客開(kāi)始入侵電子郵件系統(tǒng)，并潛伏下來(lái)進(jìn)行學(xué)習(xí)。然后他們會(huì)利用掌握的信息和聯(lián)系人之間通過(guò)經(jīng)常溝通建立起來(lái)的關(guān)系和信任?！?/p>

Grimes認(rèn)為這種攻擊的重災(zāi)區(qū)是抵押貸款詐騙。黑客會(huì)通過(guò)購(gòu)房者信任的抵押貸款代理的電子郵箱向購(gòu)房者發(fā)送電子郵件，誘騙購(gòu)房者打款。“黑客先侵入抵押貸款放款機(jī)構(gòu)的電腦，記錄所有即將到期執(zhí)行的將發(fā)生交易和其截止日期。通常抵押代理會(huì)在到期前一天發(fā)送電子郵件告知客戶向哪里打款。這時(shí)網(wǎng)絡(luò)釣魚(yú)者會(huì)使用抵押代理的計(jì)算機(jī)發(fā)送帶來(lái)虛假賬戶的電子郵件提醒打款。沒(méi)有任何戒心的受害人會(huì)毫不猶豫的打款，而這些錢基本上無(wú)法被追回。這種詐騙最終會(huì)導(dǎo)致受害者失去房子（除非他們能夠另拿出一筆錢進(jìn)行還款，而大部分受害者都沒(méi)有這種能力）。”

7.各國(guó)都在制定網(wǎng)絡(luò)戰(zhàn)規(guī)則

對(duì)于常規(guī)戰(zhàn)爭(zhēng)，大多數(shù)國(guó)家都已達(dá)成了一套基本共識(shí)，如不虐待戰(zhàn)俘、不使用毒氣、不屠殺平民。這些規(guī)則劃定了界限，一旦有國(guó)家違反就會(huì)受到全球多數(shù)國(guó)家的譴責(zé)。

網(wǎng)絡(luò)戰(zhàn)爭(zhēng)則沒(méi)有這類規(guī)則，一些國(guó)家似乎認(rèn)為自己可以做任何事情而且不受懲罰。“例如，朝鮮黑掉了索尼影業(yè)，俄羅斯通過(guò)網(wǎng)絡(luò)攻擊了工業(yè)關(guān)鍵控制系統(tǒng)并試圖影響他國(guó)選舉，美國(guó)和以色列使用惡意軟件摧毀了別國(guó)核設(shè)備等等。數(shù)字邊界正在受到考驗(yàn)，一些國(guó)家選擇了反擊。預(yù)計(jì)很快就會(huì)有一個(gè)關(guān)于數(shù)字戰(zhàn)爭(zhēng)的日內(nèi)瓦公約?！?/p>

無(wú)論有沒(méi)有建立起規(guī)則，一些國(guó)家都將繼續(xù)在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中突破界限。Korolov稱：“網(wǎng)絡(luò)攻擊者將繼續(xù)在一些國(guó)家得到庇護(hù)。他們將擁有比以往更多的資源，有的來(lái)自于政府，有的是勒索軟件和加密貨幣劫持攻擊攫取的不義之財(cái)所帶來(lái)的。他們將使用這些資源來(lái)尋找新的攻擊向量，提高惡意軟件的彈性和適應(yīng)性。在全球地緣政治發(fā)生重大變化之前，情況將持續(xù)惡化，而這種重大變化最早也要到下一次美國(guó)總統(tǒng)大選之后才會(huì)出現(xiàn)?！?/p>

8.更多企業(yè)將要求CSO/CISO擁有網(wǎng)絡(luò)安全碩士學(xué)位

Porup預(yù)測(cè)，隨著網(wǎng)絡(luò)安全教育的持續(xù)成熟，安全專業(yè)人員在職業(yè)生涯中將無(wú)法單憑證書(shū)獲得進(jìn)一步發(fā)展。 “大雜燴式的安全認(rèn)證體系已經(jīng)無(wú)法提供適當(dāng)?shù)慕逃团嘤?xùn)了。”

Porup指出，“許多大學(xué)都在設(shè)置了網(wǎng)絡(luò)安全碩士學(xué)位，包括加州大學(xué)伯克利分校和紐約大學(xué)等名牌大學(xué)。越來(lái)越多的企業(yè)希望聘用通過(guò)碩士教育獲得了跨學(xué)科技術(shù)技能的首席安全官/首席信息安全官。”