作者簡介

作者林信忠目前服務於凌群電腦股份有限公司，擔任資訊安全顧問的角色。主要工作包含資訊安全/資訊服務/個資保護專案的規劃與執行、資訊安全產品前端銷售、ISO /IEC 27001認證輔導、弱點檢測、滲透測試等事項。擁有CISSP、CSSLP、ECSAv9、CCSK、ISO 27001/20000 LAC、TCSE、ITILv3 Foundation等證照。

前言

2021年，延續2020年世界局勢發展，新冠病毒依舊可能肆虐的危險加速了企業數位元化轉型的需求，許多企業主從去年的猶疑觀望轉變為實際的行動，如組織資訊架構從地端(client site)遷移到雲端(cloud site)或是兩者混和。員工的辦公場所從集中場域的公司轉變為分散場域的住家。從更高的角度來看國家城市間也會變化，總不能忍受長時間的封國封城,於是乎在滿足一定條件下謹慎地允許異地人員間的交流往來…基於上述各種原因今年對資訊安全領域來說會是個充滿挑戰、機遇的一年，成功的企業將挑戰轉變為機遇提升獲利，反之則逐步淹沒在趨勢洪流之中。本文目的在於整理彙總出資安業界各指標單位或業者對2021年後疫情時代的十二項資安展望預測，希冀能對讀者提供助益。

展望預測

筆者整理歸納出各單位/業者預測分述如下：

一、做好必須跨境分享個資的準備

個資的保護是資安重要的一環，追蹤接觸史也許是真正使個人開始在意數據隱私的原因。因疫情之故導致個人隱私與公眾安全需取得某種程度的的平衡，政府保有的個資相關數據需要下放到大眾運輸與旅遊業者等行業。另外市場上將會有越來越多的接觸者追蹤程式的需求，如Future Market Insights研究顯示，在多國反覆感染無法根絕疫情的實際情況下，新的接觸者追蹤應用程式每年將增加15％。

二、5G的等待時間縮短

某些國家已經推出5G網路， Deloitte預測2020至2025這段期間將有三分之一私有的5G網路市場來自於港口，機場和相關的物流樞紐，這些樞紐將會是5G私有網路的先行者。5G的網路會對大數據應用、傳輸與儲存與因傳統防護邊界模糊化從而對資訊安全產生巨大挑戰，關於5G安全議題仍需進行更多的探索和研究。5G開放的接入網路任何一個接入設備都可能成為網路攻擊的進入點(entry point)，5G將使得網路攻擊潛在物件增加。需投入更大資源與精力才能更好的應對安全問題。

三、在家工作變需要變得更安全

在封鎖和社交距離措施中，企業將採取各種措施來實施遠距工作。當遠距辦公成為後疫情時代下的彈性工作模式，此模式為駭客帶來新的攻擊機會。家用路由器會成為駭客入侵公司網路的另外可行管道，企業必須將家庭網路納入組織整體資安防護的環節，如何將公務與家用網路做出區別並套用不同的安全政策將會是個話題。2021年為企業提供了一個機會，如何規劃出新的解決方案，並思考如何在不同的情境下完成公司業務。

四、以新冠疫情為誘餌的攻擊行動不會減少

網路犯罪集團利用機會發動網路釣魚和勒索軟體等攻擊，從2020年初開始，使用社交工程散播垃圾郵件、惡意程式等惡意行為有增無減。這些威脅將利用此次公衛危機試圖入侵目標系統，圍繞在 Covid-19 相關議題，這樣的情況會持續一整年。醫療機構以及開發疫苗的廠商遭受如病患資料外洩、醫療間諜竊密等安全威脅可能大大的增加。

五、轉向雲端的資訊安全性原則

此點與與前言內容相呼應，隨著企業在雲端解決方案中獲得更多經驗，員工永久地遠距工作或許慢慢被接受並成為常態，組織必須制定有關雲端安全性的原則，這些策略是保護數位資產免受雲端環境攻擊的基礎。

六、對開源軟體攻擊將加速進行

以開源為目標是攻擊組織的簡便方法，因為商業軟體價格居高不下而威脅只有與日俱增，許多企業經費不足的企業主轉而使用開源軟體來建置資訊框架或系統。資安專家對此建議是在關鍵項目中使用知名且成熟的開源套件。

七、勒索軟體仍然是主要威脅

勒索軟體是近年來極大的安全挑戰，企業應專注於有助於消除風險的解決方案，並且必須制定適當的事件應變計畫，以確保業務能夠抵禦這種高風險攻擊。

八、脆弱的API導致更多違規行為

在今日企業加速將基礎架構移轉至混合雲，預測企業因錯誤或不當的設定所引發的資安事件將會更為頻繁，雲端安全風險來自於用戶而非供應商。而被大量使用應用程式開發介面 (API)，隨著相關運用層面越來越廣，但其對安全的著墨卻仍在初始階段，意味著成為駭客入侵企業管道的機會亦將隨之擴大。可以預計，API漏洞在2021年仍然是駭客的頭號攻擊源。對於程式設計人員來說，用簡單解決方案消除這些漏洞是困難的。組織應該提高對如何利用這些漏洞的認知，並識別出保護API授權過程的方法。既有漏洞帶來的危害比新漏洞更為嚴重，一旦漏洞沒有及時修補，可能會立馬成為駭客入侵事件的受害者。

九、平臺安全重要性的強化

隨著雲端技術、消費設備和遠距工作者增加，必須在週邊、校園、資料中心、雲以及組織可能擁有人員或資產的其他地方應用安全性。這種對安全性的需求引發了應用程式安全性的演變，此稱為安全平臺的一站式服務。因此，將更多地使用安全平臺，而不是分散的安全解決方案，以確保安全性。

十、更多自動化安全需求

解決資安人才短缺的一個有效方法是將其工作（如防火牆管理、帳號管理、安全事件處理、漏洞監控修補等）自動化。目前，企業正在通過附加工具實現自動化功能。2021年，自動化將成為安全工具的預設標準功能。

十一、供應鏈安全風險增加，將委外廠商納入風險評估成為趨勢

近一兩年來，臺灣遭遇多起APT攻擊事件，經調查多與供應鏈有關。駭客為了滲透目標企業，除了選擇直接正面攻擊，一旦發現滲透目標相關的軟體廠商、委外廠商與合作夥伴，有更好的弱點可以利用時，都有可能被駭客視為入侵管道。對於委外供應商方面的風險，公務機關已開始逐步加強合約內容要求與稽核力道，半導體龍頭台積電亦設立了供應商資訊安全協會。委外供應商的資安防護水準，該如何提升與規範，勢必成為2021年關注的重點。

十二、BEC詐騙攀升

BEC是Business Email Compromise的簡稱，亦被稱為變臉詐騙，它是一種針對正與外部供應鏈從事商務洽商及/或執行電匯時所發生的複雜詐騙攻擊。駭客透過偽造的電子郵件帳號與假資訊，看準時機與被害人互動的行騙。郵件安全業者Abnormal Security，在2020年第3季的研究報告中指出相關的攻擊數量持續增加，且幾乎是所有主要的產業，遭遇BEC詐騙的現象都有明顯成長，這種攻擊極難發現，卻接連發生，且可能被忽略。

結論

COVID-19 在2021年仍將在各領域影響人們的生活。隨著科技發展與大眾觀念的改變，希望這個負面影響會逐步減少。值此百年巨變之際組織或個人須準備通過應對這些變化來確保下一個正常狀態。在資安領域中駭客依然會針對遠距工作與線上學習等活動發動攻擊，可以預期社交工程、勒索軟體、殭屍網絡、詐騙郵件等惡意行為與合規要求依舊有增無減，建議IT用戶應早做準備，全力因應。

參考資料

1.https://www.trendmicro.com/zh_tw/security-intelligence/threat-report.html

2.https://www.ithome.com.tw/article/142129

3.https://www.indusface.com/blog/2020-reflections-and-2021-predictions-for-application-security/?utm_source=leadsquare-email&utm_medium=email&utm_campaign=Email-blog-2020-reflections-and-2021-predictions-for-application-security

4.https://www.ithome.com.tw/pr/141740

5.https://blog.paloaltonetworks.com/2020/12/japac-prediction-2021/?lang=zh-hant