2020年科技發(fā)展會(huì)有什么新樣貌?又會(huì)隨之帶來(lái)什么資安風(fēng)險(xiǎn)?趨勢(shì)科技資安研究部全球副總裁Rik Ferguson告訴你

　　犯罪究竟可不可以事先預(yù)防?可不可以透過(guò)事先的大資料分析，找到可能的犯罪嫌疑人并遏止可能的犯罪行為?好萊塢在2002年一出由湯姆克魯斯主演的“關(guān)鍵報(bào)告”中，設(shè)定在2054年科技發(fā)達(dá)，有一套可以事先偵測(cè)犯罪行為的“先知”系統(tǒng)，透過(guò)各種資料整合與系統(tǒng)追蹤分析，找到有犯罪意圖的嫌犯并事先逮捕。

　　電影雖然充滿(mǎn)科幻小說(shuō)的想像情節(jié)，但實(shí)際上，有許多手法越來(lái)越精細(xì)復(fù)雜且難以偵測(cè)的網(wǎng)路犯罪，早就像是科幻小說(shuō)的翻版，發(fā)生在現(xiàn)實(shí)社會(huì)中。

　　由國(guó)際網(wǎng)路安全防范聯(lián)盟(ISCPA)發(fā)起，歐洲國(guó)際刑警組織和趨勢(shì)科技共同參與的一份網(wǎng)路犯罪報(bào)告：2020專(zhuān)案(Project 2020)，就已經(jīng)描繪出，未來(lái)5年，不論是擴(kuò)增實(shí)境及NFC技術(shù)的成熟，或者是云端DDoS攻擊的橫行，傀儡網(wǎng)路從現(xiàn)有的桌面端走向云端化，網(wǎng)路幫派斗爭(zhēng)不斷，甚至是實(shí)體數(shù)據(jù)中心的攻擊等，都是該份研究報(bào)告中，所指涉網(wǎng)路犯罪相關(guān)類(lèi)型。

　　參與2020專(zhuān)案研究的趨勢(shì)科技資安研究部全球副總裁Rik Ferguson，本身也是“歐洲刑警組織”與“國(guó)際網(wǎng)路安全防范聯(lián)盟”的專(zhuān)案領(lǐng)導(dǎo)人之一。他說(shuō)，這樣的網(wǎng)路犯罪趨勢(shì)下，要區(qū)分合法和非法活動(dòng)，界線(xiàn)也變得越來(lái)越模糊，以刑事偵查的社交工程郵件為例，究竟是垃圾郵件還是合法的行銷(xiāo)郵件，行為都跟廣告郵件一樣，也越來(lái)越難以厘清。他認(rèn)為，對(duì)于各國(guó)立法單位而言，必須可以詳細(xì)描繪出網(wǎng)路犯罪和行銷(xiāo)行為之間的區(qū)別，但是對(duì)司法調(diào)查單位而言，都必須具備足夠的犯罪調(diào)查能力，才有辦法做到后續(xù)的檢舉和起訴。

從2020專(zhuān)案看未來(lái)5年科技趨勢(shì)

　　Rik Ferguson表示，2020專(zhuān)案有一個(gè)假設(shè)前提，就是距今5年后，有許多現(xiàn)在看來(lái)很新穎、先進(jìn)的IT應(yīng)用技術(shù)，已經(jīng)普及到每個(gè)人的日常生活中。他強(qiáng)調(diào)，該專(zhuān)案中的新興科技，現(xiàn)在即使還是雛形，但卻是未來(lái)科技應(yīng)用可能的想像。

　　2020專(zhuān)案將行動(dòng)網(wǎng)路視為未來(lái)人人的生活必需品?，F(xiàn)在已經(jīng)有速度可以和實(shí)體線(xiàn)路比美的4G行動(dòng)網(wǎng)路，也有新一代的5G網(wǎng)路醞釀中，到了2020年，行動(dòng)網(wǎng)路是每個(gè)人隨時(shí)都可以存取的網(wǎng)路服務(wù)，傳輸速度快，包含影像、語(yǔ)音甚至是視訊功能使用的流暢度，行動(dòng)網(wǎng)路頻寬都已經(jīng)可以滿(mǎn)足所需服務(wù)的品質(zhì)。

　　再者，擴(kuò)增實(shí)境技術(shù)應(yīng)用也將成熟，搭配具備定位和傳輸功能的戒指，以及高解析度的顯示器，使用者可以清楚在眼前看到3D影像。Rik Ferguson表示，到了2020年，行動(dòng)電話(huà)中的擴(kuò)增實(shí)境功能更為成熟，除了可以搭配頭戴式顯示器(Heads-Up Display，HUD)，將傳送的3D影像與現(xiàn)場(chǎng)景色整合在一起外，也提供隱形眼鏡式的顯示器選項(xiàng)。每個(gè)人可以透過(guò)手勢(shì)，選擇所需要的功能，不論是與遠(yuǎn)方的朋友通話(huà)、線(xiàn)上購(gòu)物等等，都可以使用手勢(shì)選擇;具備高解析度的視網(wǎng)膜顯示器更是主流產(chǎn)品。

　　結(jié)合擴(kuò)增實(shí)境功能的顯示器，也會(huì)整合社交網(wǎng)路服務(wù)，使用者可以選擇對(duì)某些人顯示或隱藏某些個(gè)人資訊;即便遠(yuǎn)在天涯的朋友，也可以透過(guò)視訊方式通訊。只不過(guò)，對(duì)特定人隱藏某些特定資訊或避免被打擾都是付費(fèi)的服務(wù)，預(yù)設(shè)免費(fèi)提供的社交或網(wǎng)路服務(wù)，往往就是透過(guò)交換或販?zhǔn)凼褂谜叩膫€(gè)人資訊獲利，使用者通常需要付費(fèi)使用進(jìn)階的過(guò)濾服務(wù)以避免被打擾。

　　2020年時(shí)，所有資料都透過(guò)各種感應(yīng)裝置，持續(xù)回傳到內(nèi)容平臺(tái)中，有些不排斥的人，甚至還可以選擇在皮膚中植入類(lèi)似RFID的晶片裝置，可以更方便、更沉默的回傳資訊到相關(guān)平臺(tái)。

　　數(shù)位時(shí)代更要重視個(gè)人資料所有權(quán)

　　5年后的科技，帶來(lái)了第一個(gè)沖擊就是隱私保護(hù)的議題?！皞€(gè)人數(shù)位隱私無(wú)價(jià)，即便到了2020年，數(shù)位隱私一樣重要。”Rik Ferguson認(rèn)為，數(shù)位時(shí)代的隱私保護(hù)已經(jīng)是每個(gè)人無(wú)法逃避的議題，像是在重視個(gè)人隱私的歐洲，現(xiàn)在就有法院要求Google必須尊重個(gè)人意愿，刪除網(wǎng)路上的數(shù)位資料和搜尋結(jié)果。

　　持續(xù)不斷累積的各種資料中，必須靠分析和整合，才能創(chuàng)造出資料的獨(dú)特價(jià)值。Rik Ferguson指出，在2020年時(shí)，每個(gè)人的數(shù)位資料都存放在內(nèi)容服務(wù)業(yè)者(Content Service Provide，CSP)的平臺(tái)中，使用者可以選擇提供多少的個(gè)人資料，換得更便利的服務(wù)。當(dāng)然，有一些人，為了確保個(gè)人的數(shù)位隱私安全性，選擇較為昂貴的付費(fèi)服務(wù)內(nèi)容，多數(shù)的內(nèi)容服務(wù)業(yè)者都已經(jīng)可以依照使用者的偏好，提供所需要的內(nèi)容服務(wù)，例如，如果你不喜歡逛酒吧反而喜歡逛藝?yán)?，平臺(tái)業(yè)者就只會(huì)提供展覽而非酒吧促銷(xiāo)的資訊給使用者。

　　在2020年，Rik Ferguson表示，“賣(mài)資料將是一門(mén)好生意，”包括個(gè)人資料和數(shù)據(jù)是允許被販?zhǔn)鄣模徽撌呛萌藟娜硕夹枰觅Y料，當(dāng)使用者愿意交換個(gè)人資料取得更便利的服務(wù)時(shí)，也必須尊重不愿意提供資料的使用者意愿。因?yàn)?，使用者才是資料真正的主人，才有權(quán)決定資料如何被使用。“因此，在2020年，每個(gè)人都要更重視個(gè)人資料所有權(quán)?！彼f(shuō)。

　　現(xiàn)在，多數(shù)人可以分析處理的資料，都和個(gè)人經(jīng)驗(yàn)與行為相關(guān)，但隨著分析技術(shù)的成熟，Rik Ferguson指出，5年后，分析技術(shù)將更拓展到“情緒變化”。也就是說(shuō)，到2020年，已經(jīng)有分析軟體可以分析個(gè)人的情緒好壞，進(jìn)而建議適合的采購(gòu)商品或廣告?！半S著各種分析技術(shù)的成熟，也讓每個(gè)人連同心情，都可能完全暴露在數(shù)位網(wǎng)路中?！彼f(shuō)。

　　資料的交換、分析和使用過(guò)于頻繁，使用者也必須更在意內(nèi)容服務(wù)業(yè)者究竟怎么使用資料，因此，在2020年，定期的資料使用報(bào)表將成為常態(tài);更有甚者，隨著每個(gè)人都生活在數(shù)位網(wǎng)路時(shí)代，因?yàn)榫W(wǎng)路上的信任相對(duì)薄弱，每個(gè)人為了要獲得他人的信任，身分認(rèn)證管理與信譽(yù)評(píng)等就顯得相當(dāng)重要，甚至于，好的信譽(yù)評(píng)等也成為數(shù)位時(shí)代中可以換錢(qián)、買(mǎi)東西的工具。

　　Rik Ferguson說(shuō)：“類(lèi)似的身分管理和信譽(yù)評(píng)等機(jī)制的興起，也只是反應(yīng)每個(gè)人在數(shù)位時(shí)代中的脆弱與渺小?！鄙踔劣冢?020年，所有的金融服務(wù)全都朝向行動(dòng)化、云端化發(fā)展，到銀行領(lǐng)錢(qián)已經(jīng)極為罕見(jiàn)。

　　5年后，所有的服務(wù)都已經(jīng)在線(xiàn)上化，所有的裝置也都連網(wǎng)。Rik Ferguson表示，現(xiàn)在許多人推廣的IoT(Internet of Things，物聯(lián)網(wǎng))裝置，風(fēng)險(xiǎn)其實(shí)比IoE(Internet of Everything)還低，主要是，IoT處理器功能受限，許多制造商甚至沒(méi)有提供直接操控的介面，在搶市占率、獲得市場(chǎng)青睞的同時(shí)，安全永遠(yuǎn)不是IoT首要關(guān)注的焦點(diǎn)。因此，他認(rèn)為，多數(shù)的IoT甚至是IoE相關(guān)的制造商，在產(chǎn)品設(shè)計(jì)之初，就應(yīng)該內(nèi)建或預(yù)設(shè)安全議題。

　2014年是大量資料外泄的一年

　　Rik Ferguson從2020專(zhuān)案中得出一些觀察，在因應(yīng)未來(lái)威脅之前，要先了解目前的資安考驗(yàn)為何，因此，只要能掌握一些資安關(guān)鍵議題，就能知道如何因應(yīng)相關(guān)的資安威脅。像是，如何了解網(wǎng)路中誰(shuí)持有哪些資料，且持有多久?有哪些人濫用或合法使用資料?許多資料使用是否與原先的使用目的相符?執(zhí)政當(dāng)局提供的資料存取方式，是否可以確保資料的安全性?如果資料有損失，由誰(shuí)承擔(dān)資料損失的風(fēng)險(xiǎn)?有誰(shuí)提供金錢(qián)或資料復(fù)原的補(bǔ)救措施呢?又由誰(shuí)負(fù)責(zé)網(wǎng)路、服務(wù)和應(yīng)用程式之間的安全性?目前有哪些技術(shù)可以確保這些網(wǎng)路、服務(wù)和應(yīng)用程式在執(zhí)行環(huán)境中的安全性等?只要可以掌握這類(lèi)關(guān)鍵問(wèn)題，也就可以確保有能力因應(yīng)資安威脅的。

　　有人說(shuō)，2014年是網(wǎng)路被駭年(The year of hack)，但Rik Ferguson認(rèn)為，2014是大量資料外泄的一年，且APT(先進(jìn)持續(xù)性威脅)的攻擊也未見(jiàn)減少。他表示，許多政府和大型企業(yè)面臨APT攻擊時(shí)，潛在的風(fēng)險(xiǎn)則是頻繁的駭客活動(dòng)和偷資料的木馬程式，帶來(lái)大量、有價(jià)值的資料遺失。

　　更有甚者，網(wǎng)路犯罪已經(jīng)形成一種新的云端服務(wù)類(lèi)型(Crime as a Service )，成為一種網(wǎng)路作戰(zhàn)的工具;也有越來(lái)越多使用嵌入式系統(tǒng)(Embedded System)的硬體裝置，例如POS機(jī)(端點(diǎn)銷(xiāo)售系統(tǒng))，將面臨新的網(wǎng)路風(fēng)險(xiǎn)，例如，偷信用卡資料的惡意程式，而這些新威脅也將帶來(lái)更多受害者，駭客會(huì)利用更多方式隱匿自身攻擊行為，并運(yùn)用假的憑證取得信任;其他許多線(xiàn)上金融服務(wù)也會(huì)面臨更多攻擊和帳密與金錢(qián)的竊取。

　　攸關(guān)國(guó)家關(guān)鍵基礎(chǔ)建設(shè)(CIP)和關(guān)鍵資訊基礎(chǔ)建設(shè)(CIIP)，也一直都是駭客攻擊的目標(biāo);社交網(wǎng)路的普及，讓駭客更容易透過(guò)各種社交工程手法，針對(duì)特定對(duì)象取得所需要的資料。Rik Ferguson表示，上述的網(wǎng)路威脅，迫使各國(guó)政府希望能夠立法面對(duì)新型態(tài)的網(wǎng)路威脅。

　　相較于2014年的資料外泄或被駭風(fēng)險(xiǎn)，Rik Ferguson認(rèn)為，在利之所趨的行為下，“2015年國(guó)家級(jí)的網(wǎng)路犯罪行為減少，但企業(yè)面臨的風(fēng)險(xiǎn)卻大增?！?/p>

　　知己知彼、百戰(zhàn)不殆

　　Rik Ferguson認(rèn)為，若可以理解威脅的由來(lái)，就比較容易知道如何應(yīng)對(duì)。首先，殺頭的生意有人做、賠錢(qián)的生意沒(méi)人做，理解駭客入侵的目的就是為了要賺取實(shí)質(zhì)的金錢(qián)利益。他指出，早期駭客的攻擊入侵多數(shù)是為了打打知名度，但現(xiàn)在，駭客入侵一定要有實(shí)質(zhì)獲利才會(huì)做。

　　其次，駭客入侵且愿意長(zhǎng)期潛伏的目的是為了攔截情報(bào)。Rik Ferguson指出，許多網(wǎng)路間諜不論潛藏多久，都是為了獲取更多機(jī)敏資料。

　　駭客最終目的要取得資料，Rik Ferguson說(shuō)，“不論是竊取或者是銷(xiāo)毀資料，擁有資料的主導(dǎo)權(quán)，就是駭客最終的目的?！彼硎荆斂陀袡C(jī)會(huì)濫用電腦運(yùn)算效能時(shí)，就等于增強(qiáng)駭客的攻擊能力。因?yàn)榫W(wǎng)路的信任是相當(dāng)脆弱的，Rik Ferguson指出，一旦原本信任的憑證或工具被偽冒，就足以破壞網(wǎng)路原本脆弱的信任感，嚴(yán)重時(shí)，可能毀壞原本正常的網(wǎng)路運(yùn)作。

　　Rik Ferguson認(rèn)為，每個(gè)資安人員都應(yīng)該研究2020專(zhuān)案，找出未來(lái)的科技發(fā)展趨勢(shì)與威脅，從中培養(yǎng)面對(duì)未來(lái)資安威脅的預(yù)期心態(tài)，如果每個(gè)人做好心理準(zhǔn)備，就能夠培養(yǎng)展望未來(lái)網(wǎng)路與資安風(fēng)險(xiǎn)的應(yīng)變能力。