2020年科技趋势大预测，资安首席揭露未来5年新威胁

　　2020年科技发展会有什么新样貌?又会随之带来什么资安风险?趋势科技资安研究部全球副总裁Rik Ferguson告诉你

　　犯罪究竟可不可以事先预防?可不可以透过事先的大资料分析，找到可能的犯罪嫌疑人并遏止可能的犯罪行为?好莱坞在2002年一出由汤姆克鲁斯主演的“关键报告”中，设定在2054年科技发达，有一套可以事先侦测犯罪行为的“先知”系统，透过各种资料整合与系统追踪分析，找到有犯罪意图的嫌犯并事先逮捕。

　　电影虽然充满科幻小说的想像情节，但实际上，有许多手法越来越精细复杂且难以侦测的网路犯罪，早就像是科幻小说的翻版，发生在现实社会中。

　　由国际网路安全防范联盟(ISCPA)发起，欧洲国际刑警组织和趋势科技共同参与的一份网路犯罪报告：2020专案(Project 2020)，就已经描绘出，未来5年，不论是扩增实境及NFC技术的成熟，或者是云端DDoS攻击的横行，傀儡网路从现有的桌面端走向云端化，网路帮派斗争不断，甚至是实体数据中心的攻击等，都是该份研究报告中，所指涉网路犯罪相关类型。

　　参与2020专案研究的趋势科技资安研究部全球副总裁Rik Ferguson，本身也是“欧洲刑警组织”与“国际网路安全防范联盟”的专案领导人之一。他说，这样的网路犯罪趋势下，要区分合法和非法活动，界线也变得越来越模糊，以刑事侦查的社交工程邮件为例，究竟是垃圾邮件还是合法的行销邮件，行为都跟广告邮件一样，也越来越难以厘清。他认为，对于各国立法单位而言，必须可以详细描绘出网路犯罪和行销行为之间的区别，但是对司法调查单位而言，都必须具备足够的犯罪调查能力，才有办法做到后续的检举和起诉。

从2020专案看未来5年科技趋势

　　Rik Ferguson表示，2020专案有一个假设前提，就是距今5年后，有许多现在看来很新颖、先进的IT应用技术，已经普及到每个人的日常生活中。他强调，该专案中的新兴科技，现在即使还是雏形，但却是未来科技应用可能的想像。

　　2020专案将行动网路视为未来人人的生活必需品。现在已经有速度可以和实体线路比美的4G行动网路，也有新一代的5G网路酝酿中，到了2020年，行动网路是每个人随时都可以存取的网路服务，传输速度快，包含影像、语音甚至是视讯功能使用的流畅度，行动网路频宽都已经可以满足所需服务的品质。

　　再者，扩增实境技术应用也将成熟，搭配具备定位和传输功能的戒指，以及高解析度的显示器，使用者可以清楚在眼前看到3D影像。Rik Ferguson表示，到了2020年，行动电话中的扩增实境功能更为成熟，除了可以搭配头戴式显示器(Heads-Up Display，HUD)，将传送的3D影像与现场景色整合在一起外，也提供隐形眼镜式的显示器选项。每个人可以透过手势，选择所需要的功能，不论是与远方的朋友通话、线上购物等等，都可以使用手势选择;具备高解析度的视网膜显示器更是主流产品。

　　结合扩增实境功能的显示器，也会整合社交网路服务，使用者可以选择对某些人显示或隐藏某些个人资讯;即便远在天涯的朋友，也可以透过视讯方式通讯。只不过，对特定人隐藏某些特定资讯或避免被打扰都是付费的服务，预设免费提供的社交或网路服务，往往就是透过交换或贩售使用者的个人资讯获利，使用者通常需要付费使用进阶的过滤服务以避免被打扰。

　　2020年时，所有资料都透过各种感应装置，持续回传到内容平台中，有些不排斥的人，甚至还可以选择在皮肤中植入类似RFID的晶片装置，可以更方便、更沉默的回传资讯到相关平台。

　　数位时代更要重视个人资料所有权

　　5年后的科技，带来了第一个冲击就是隐私保护的议题。“个人数位隐私无价，即便到了2020年，数位隐私一样重要。”Rik Ferguson认为，数位时代的隐私保护已经是每个人无法逃避的议题，像是在重视个人隐私的欧洲，现在就有法院要求Google必须尊重个人意愿，删除网路上的数位资料和搜寻结果。

　　持续不断累积的各种资料中，必须靠分析和整合，才能创造出资料的独特价值。Rik Ferguson指出，在2020年时，每个人的数位资料都存放在内容服务业者(Content Service Provide，CSP)的平台中，使用者可以选择提供多少的个人资料，换得更便利的服务。当然，有一些人，为了确保个人的数位隐私安全性，选择较为昂贵的付费服务内容，多数的内容服务业者都已经可以依照使用者的偏好，提供所需要的内容服务，例如，如果你不喜欢逛酒吧反而喜欢逛艺廊，平台业者就只会提供展览而非酒吧促销的资讯给使用者。

　　在2020年，Rik Ferguson表示，“卖资料将是一门好生意，”包括个人资料和数据是允许被贩售的，不论是好人坏人都需要好资料，当使用者愿意交换个人资料取得更便利的服务时，也必须尊重不愿意提供资料的使用者意愿。因为，使用者才是资料真正的主人，才有权决定资料如何被使用。“因此，在2020年，每个人都要更重视个人资料所有权。”他说。

　　现在，多数人可以分析处理的资料，都和个人经验与行为相关，但随着分析技术的成熟，Rik Ferguson指出，5年后，分析技术将更拓展到“情绪变化”。也就是说，到2020年，已经有分析软体可以分析个人的情绪好坏，进而建议适合的采购商品或广告。“随着各种分析技术的成熟，也让每个人连同心情，都可能完全暴露在数位网路中。”他说。

　　资料的交换、分析和使用过于频繁，使用者也必须更在意内容服务业者究竟怎么使用资料，因此，在2020年，定期的资料使用报表将成为常态;更有甚者，随着每个人都生活在数位网路时代，因为网路上的信任相对薄弱，每个人为了要获得他人的信任，身分认证管理与信誉评等就显得相当重要，甚至于，好的信誉评等也成为数位时代中可以换钱、买东西的工具。

　　Rik Ferguson说：“类似的身分管理和信誉评等机制的兴起，也只是反应每个人在数位时代中的脆弱与渺小。”甚至于，到2020年，所有的金融服务全都朝向行动化、云端化发展，到银行领钱已经极为罕见。

　　5年后，所有的服务都已经在线上化，所有的装置也都连网。Rik Ferguson表示，现在许多人推广的IoT(Internet of Things，物联网)装置，风险其实比IoE(Internet of Everything)还低，主要是，IoT处理器功能受限，许多制造商甚至没有提供直接操控的介面，在抢市占率、获得市场青睐的同时，安全永远不是IoT首要关注的焦点。因此，他认为，多数的IoT甚至是IoE相关的制造商，在产品设计之初，就应该内建或预设安全议题。

　2014年是大量资料外泄的一年

　　Rik Ferguson从2020专案中得出一些观察，在因应未来威胁之前，要先了解目前的资安考验为何，因此，只要能掌握一些资安关键议题，就能知道如何因应相关的资安威胁。像是，如何了解网路中谁持有哪些资料，且持有多久?有哪些人滥用或合法使用资料?许多资料使用是否与原先的使用目的相符?执政当局提供的资料存取方式，是否可以确保资料的安全性?如果资料有损失，由谁承担资料损失的风险?有谁提供金钱或资料复原的补救措施呢?又由谁负责网路、服务和应用程式之间的安全性?目前有哪些技术可以确保这些网路、服务和应用程式在执行环境中的安全性等?只要可以掌握这类关键问题，也就可以确保有能力因应资安威胁的。

　　有人说，2014年是网路被骇年(The year of hack)，但Rik Ferguson认为，2014是大量资料外泄的一年，且APT(先进持续性威胁)的攻击也未见减少。他表示，许多政府和大型企业面临APT攻击时，潜在的风险则是频繁的骇客活动和偷资料的木马程式，带来大量、有价值的资料遗失。

　　更有甚者，网路犯罪已经形成一种新的云端服务类型(Crime as a Service )，成为一种网路作战的工具;也有越来越多使用嵌入式系统(Embedded System)的硬体装置，例如POS机(端点销售系统)，将面临新的网路风险，例如，偷信用卡资料的恶意程式，而这些新威胁也将带来更多受害者，骇客会利用更多方式隐匿自身攻击行为，并运用假的凭证取得信任;其他许多线上金融服务也会面临更多攻击和帐密与金钱的窃取。

　　攸关国家关键基础建设(CIP)和关键资讯基础建设(CIIP)，也一直都是骇客攻击的目标;社交网路的普及，让骇客更容易透过各种社交工程手法，针对特定对象取得所需要的资料。Rik Ferguson表示，上述的网路威胁，迫使各国政府希望能够立法面对新型态的网路威胁。

　　相较于2014年的资料外泄或被骇风险，Rik Ferguson认为，在利之所趋的行为下，“2015年国家级的网路犯罪行为减少，但企业面临的风险却大增。”

　　知己知彼、百战不殆

　　Rik Ferguson认为，若可以理解威胁的由来，就比较容易知道如何应对。首先，杀头的生意有人做、赔钱的生意没人做，理解骇客入侵的目的就是为了要赚取实质的金钱利益。他指出，早期骇客的攻击入侵多数是为了打打知名度，但现在，骇客入侵一定要有实质获利才会做。

　　其次，骇客入侵且愿意长期潜伏的目的是为了拦截情报。Rik Ferguson指出，许多网路间谍不论潜藏多久，都是为了获取更多机敏资料。

　　骇客最终目的要取得资料，Rik Ferguson说，“不论是窃取或者是销毁资料，拥有资料的主导权，就是骇客最终的目的。”他表示，骇客有机会滥用电脑运算效能时，就等于增强骇客的攻击能力。因为网路的信任是相当脆弱的，Rik Ferguson指出，一旦原本信任的凭证或工具被伪冒，就足以破坏网路原本脆弱的信任感，严重时，可能毁坏原本正常的网路运作。

　　Rik Ferguson认为，每个资安人员都应该研究2020专案，找出未来的科技发展趋势与威胁，从中培养面对未来资安威胁的预期心态，如果每个人做好心理准备，就能够培养展望未来网路与资安风险的应变能力。