随著物联网蓬勃发展,将全面不断扩大信息安全信用风险范围。
2020年的信息安全现状,除学习过去的实战经验、持续将实战经验耕耘外,对今后信息技术的态势走向也要与此同时倚重与留心。尤其在位数信息技术的热潮下,无论个人或民营企业的资料渐渐都上了用户端,用户端的信用风险必注意;而人工智慧化(Artificial Intelligence,AI)一词更是急剧窜起,也将成为骇客所虎视眈眈的目标。除民营企业外,当一般大众投资更多教育经费为家里添置更多的智能化设备时,同样骇客也正竭尽全力发动网络反击。因而,当我们不断介入今后信息技术时,也要同步提高信息安全防卫手段。
2020年3大信息安全信用风险提示
去(2019年)12月中,态势信息技术台湾地区区暨香港区总经理洪伟淦表示:「民营企业、工厂甚至家庭教育工作者在2020年预期将引入更多智能化无线连接电子设备,用户端统计数据服务项目的采用亦更为频繁,民营企业所面对的信息安全管理工作议程不仅维数增高,与商业可持续性经营方式的相关性亦将更胜以往,如何提高内部信息安全防卫的可见度,为民营企业总干事及信息安全长应该倚重的经营方式议程之一。」
与此同时,态势信息技术也发表了《2020年信息安全年度预估报告》,特别针对信息安全严重威胁也明确提出3大重点项目提示,包含:民营企业用户端信用风险加剧、AIBourmont诈欺数量攀升,以及家里物联网不断扩大信息安全信用风险;与此同时也特别针对这3大重点项目提示明确提出了有关处置的建议。
1、位数创新将迎来用户端信用风险增高
位数转型大潮下,民营企业将愈趋依赖用户端进行统计数据串连处理,根据Gartner预估至2022年,将会有多达60%的民营企业组织采用外部用户端管理工作服务项目,因而,因错误用户端存储空间的预设所引发的统计数据泄漏事件将会更为普遍。另一方面,随著合作开发运营(DevOps)环境的日益风靡一时,民营企业将更倚赖服务项目器端合作开发的计算机程序,快速合作开发及更新可能会填充安全或安全漏洞有关测试的时间。
伴随欧盟「第三号缴付服务项目命令」(PSD2)施行,对外开放商业银行蓬勃发展,台湾地区也即将于2020年进入纯信用卡服务项目时代,金融商将自家API对外开放给服务项目器端商,为骇客带来全新的潜在反击机会。态势信息技术预估,与移动缴付有关的恶意程序对对外开放商业银行与缴付系统的反击将更为高涨,在API安全漏洞下,可能招致个人隐私泄漏的信息安全信用风险。
2、AIBourmont诈欺DeepFakes将持续增加,系统安全漏洞成骇客攻防重点项目
近年来各种以假乱真的Deepfake技术迅速发展,传统的变脸诈欺(Business Email Compromise, BEC)手法将会有所转变。骇客将利用AI技术合成或仿真声音以及影像画面,更为逼真地模仿那些容易在网络上取得声音和影像的CEO等高阶主管,企图诱使民营企业员工汇款,进而达成目的。预期此类型的AI合成技术商业诈欺,将更频繁地出现。
3、家用物联网蓬勃发展,全面不断扩大信息安全信用风险范围
根据创市际2018年公布的「2018台湾地区微智慧生活」调查,台湾地区智能化家庭装置采用率约30%,显示台湾地区智能化家庭状况正逐渐普及,然而此现象也成为骇客入侵的机会点之一!随著家里物联网环境逐渐蓬勃发展,骇客也可能利用家里IoT电子设备进行勒索、诈欺甚至民营企业间谍活动,透过如智能化电视、智能化扬声器等装置的安全漏洞,监视在家教育工作者与民营企业间的对话、掌握民营企业情资,进一步锁定民营企业为勒索目标。
与此同时,骇客也可能锁定智能化型家用物联网电子设备(如路由器),进行DNS(Domain Name Server)挟持反击——将采用者引导至假的网址,取得帐密、个资等重要装置及个人信息,进行勒索或贩卖个资牟利等不法行为,提醒消费者要要将智能化家庭装置纳入信息安全防雷的考虑之一。
整合性纵深防卫,才是最有效的防雷策略
态势信息技术资深技术顾问简胜财分享提高信息安全防卫的要点:「面对今后用户端应用及物联网环境逐渐成熟的态势,民营企业在电子邮件、网络、端点、服务项目器与用户端工作负载等多变环境下,应采整合性的纵深防卫策略,除透过网络流量监控和行为侦测应对常见的反击手法,还能透过专业的严重威胁情资协助民营企业面对各种反击。而民众应培养信息安全意识,在行动缴付与智能化家庭装置的个网络安全全防雷须有所警觉,除可以透过安装防病毒软件协助保护交易安全与个人资料外,可采用多重认证的帐密保护措施,以防范重要个资被窃。」
最后,我们或许可以引用一段话来提醒自己:对过去的基础与规则要持续应用与更新,时刻保有警觉与好奇的心态,将防雷扎下稳定的根基外;关键处上,要全力汇集防卫的资源,单位、机关、产业整体合作前进。
(本文转载自安防知识网台湾地区版)
