Google公布2019年資安趨勢

Google在2019年的開端,公布了幾項需要注意的資安趨勢,除了攻擊者將對較弱的雙因素驗證(Two-Factor Authentication)進行攻擊外,零信任架構(Zero-Trust Architectures)與自我管理的雲端加密金鑰(Self-Managed Cloud Encryption)服務將會逐漸受歡迎,另外,Google也提醒,接下來駭客的攻擊能量會瞄準容器等原生雲端環境,針對架構漏洞進行更複雜的攻擊。不少應用程式已經部署雙因素驗證保護使用者帳戶,但是並非所有的雙因素驗證的保護力都足夠強健,Google表示,現在攻擊者正在尋找能夠繞過較弱的雙因素驗證方法,像是透過網路釣魚攻擊或是接管電話號碼以攔截SMS一次性驗證碼等,而這些攻擊瞄準的對象通常是具高價值的用戶,如高階主管、政治人物或是雲端管理員等。

因此Google預測,更多的服務應該會陸續採用更能對抗釣魚攻擊的雙因素驗證,並採用FIDO (Fast IDentity Online)標準,透過安全金鑰進行身份驗證,讓使用者獲得更強大防範網路釣魚攻擊和帳戶接管的保護。Google進一步預測,在2019年,無密碼登入將會成為主流。由於作業系統與瀏覽器平臺對W3C (World Wide Web Consortium) 和FIDO API的支援,網站也將開始提供重新登入的功能,使用者只需要使用指紋等生物識別就能執行登入動作。儘管無密碼首次登入需要比較多的手續,但是在之後,便能獲得簡單且高度安全的登入體驗。

另外,2019年零信任架構將會從創意階段進人實際應用階段。隨著不少企業逐漸將系統移往雲端,為了滿足員工隨時隨地存取業務資源的需求,零信任架構成了熱門的話題,Google自己的BeyondCorp模型就是這個概念的原始企業實作,Google預計,會有越來越多供應商,在2019年將提供套裝商業解決方案。接下來,攻擊者會將攻擊能量轉向容器等原生雲端環境,進行更複雜的攻擊,Google提到,他們已經看到了針對容器部署的公開攻擊,雖然目前的攻擊都比較低階,僅是利用虛擬機器的公開程式碼洩漏錯誤配置、憑證或是機密資訊,但隨著容器採用率上升,Google認為,將會看到針對容器架構和容器漏洞更高階的攻擊。

自我管理的加密金鑰除了可以提供對資料存取的控制,也提供額外的審計透明度、滿足政策和法規的要求或是控制供應商存取能力,不過由於管理金鑰不易,可能導致資料丟失的問題,Google認為,自我管理的雲端加密金鑰服務將逐漸受歡迎。而在2018年實施的歐盟最嚴格個資法GDPR,要求組織企業應主動報告資料洩漏事件,光在英國,與2017年相比,2018年上半年自主報告的資料洩露率增加了30%。Google預測,第一筆GDPR的罰款應該會落在2019年。而開源軟體蓬勃發展的現在,從開放原始碼資料庫下手植入漏洞,成為了一種有效的攻擊方法,Google也提醒,使用者應該對開源軟體進行更嚴格的測試。

資料來源:http://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16196