趋势科技发布2020资安预测报告 三大关键必须掌握
▲趋势科技发布2020资安预测报告。(图/取自免费图库Pixabay)
资安厂商趋势科技今(11)日发布了2020年资安预测报告,针对网路安全提出了三大重点警示:企业云端风险加剧、AI伪冒诈骗数量攀升,而消费者家中的物联网产品也将扩大资安风险。
趋势科技台湾区曁香港区总经理洪伟淦表示,企业、工厂甚至家庭工作者在2020年预期将导入更多智慧连网设备,云端应用服务的使用亦更加频繁。企业所面对的资安管理议题不仅复杂度升高,与商业永续经营的关联性亦将更胜以往,如何提升内部资安防御的能见度,为企业执行长及资安长应该重视的经营议题之一。
数位创新将迎来云端风险升高趋势科技资深技术顾问简胜财指出,数位转型浪潮之下,企业将愈趋依赖云端进行资料串联处理。根据调研机构Gartner预测,到了2022年将会有多达60%的企业将采用外部云端管理服务。
对此,趋势科技也预测,未来因错误云端储存空间的设定所引发的资料外泄事件将会更为普遍。企乐可能因为错误的设定,而让骇客有机可趁,导致重要资讯外泄,而面临赔偿风险。
骇客也可能利用如反序列化(Deserialization)漏洞的程式码注人手法来发动攻击,透过直接攻击云端服务商或侵入第三方厂商程式库的方式来窃取企业资料。
另一方面,随着开发运营(DevOpS)环境的日渐风行,企业将更仰赖第三方开发的程式码,快速开发及更新可能压缩安全或漏洞相开测试的时间。随着欧盟「第二号支付服务指令」(PSD2)生效、开放银行兴起,台湾也即将于2020年进入纯网银服务时代,金融业者将自家API开放给第三方业者,在便利之余,也等于为骇客带来全新的潜在攻击机会。
趋势科技预测,与行动支付相关的恶意软体对于开放银行与支付系统的攻击将会更加升温,在API漏洞下,可能遭致隐私外泄的资安风险。
▼趋势科技资深技术顾问简胜财。(图/趋势科技提供)
AI伪冒诈骗DeepFakes 将持续增加近年来,各种以假乱真的Deepfake技术迅速发展.趋势科技预测传统的变脸诈骗(Business Email Compromise)手法将有所转变,骇客将利用AI技术合成或模拟声音以及影像画面,更加逼真地模仿那些容易在网路上取得声音和影像的C等高阶主管,企图诱使企业员工汇款,进而达成目的。
趋势科技预期,此类型的AI合成技术商业诈骗将更频繁地出现。该公司同时也预测,骇客将进一步利用可蠕虫化的漏洞进行攻击。可蠕虫化攻击最有名的例子,就是先前令企业困扰的WannaCry病毒。
另外,趋势科技也针对今年微软发布的BlueKeep重大漏洞分析,这类漏洞虽攻击难度较高,但骇客未来将持续透过广泛使用的通讯协定如SMB(Service Message Block)、RDP(Remote Desktop Protocol),持续尝试入侵不受保护的系统。
家用物联网兴起 全面扩大资安风险范围居家物联网风气逐渐兴起,根据调查,台湾智慧家庭装置使用率约三成,显示台湾智慧家庭状况正逐渐普及,但是却也可能成为骇客入侵的机会点。
趋势科技预测,骇客将利用家中 IoT 设备进行勒索、诈骗甚至企业间谍活动,透过装置漏洞为管道,如智慧电视、智慧扬声器等,监视在家工作者与企业间的对话,掌握企业情资,进一步锁定企业为勒索目标。
同时,骇客看准物联网装置逐渐普及,更锁定智慧型家用物联网设备如路由器,进行DNS(Domain Name Server)挟持攻击。透过劫持DNS将使用者引导至假的网址,取得帐密、个资等重要装置及个人资讯,进一步进行勒索或贩售个资牟利等不法行为,趋势科技提醒消费者必须要将智慧家庭装置纳入资安防护的考量之一。