如果想保護組織、幫使用者遠離已知的安全威脅,我們需要持續維護良好的環境來打造軟體安全;同時也需要主動辨別、排除掉新興的資安風險。本文譯自 Google Cloud《Security trends to pay attention to in 2019 and beyond》,一起跟著CloudMile了解來自Google Cloud安全防護領域的專家們,提出哪些2019年的資安趨勢。
Google Cloud 能幫你兼顧兩項目標,我們打造出讓資安變簡單的產品——從在幕後運作的自動化防護措施,到協助打造個人化安全防護的各種工具與建議,滿足個別組織的特定需求(請參閱《主導你的安全措施》等文章來了解最佳作法。)
Google Cloud 持續思考與搜尋阻止新興威脅的方法,Project Zero 團隊今年初揭露的兩項 CPU 弱點 “Spectre” 以及 “Meltdown” 就是其中一個例子。
2019 年剛開始,以下是一些我們該留意的資安趨勢;這些資訊來自 Google Cloud 裡專職於安全防護的專業人士。
躲過兩步驟驗證的特定攻擊將拉高防護標準,促使高價值使用者改採更強大的 2SV 措施
兩步驟驗證(2SV)又名雙因子驗證(2FA),能夠有效保護使用者帳號,在今天許多應用中 2SV 早已成為標準措施。然而不同 2SV 的防護效果也有所差異。現在攻擊者正設法繞過防護較薄弱的 2SV ,使用的手法像是利用釣魚攻擊、盜用電話號碼來攔截一次性密碼,例如 SMS 代碼。
攻擊目標大多針對高價值使用者,像是公司執行長、政治人物、雲端管理員等,面對與日俱增的威脅,我們預測會有更多服務採用 FIDO 標準,打造更強大的防釣魚 2SV 防護。如此一來使用者能夠以安全金鑰進行驗證,更有效地避免釣魚攻擊和帳戶冒用攻擊。
— Christiaan Brand,產品經理,Google Cloud
當新標準變成主流,我們將朝向「無密碼」時代更進一步
在 2019 年我們可以期待安全的無密碼式登入轉變為主流,在 W3C 還有 FIDO 應用程式介面推波助瀾下,這象徵著更普及的無密碼時代來臨,主要瀏覽器、 OS 平台上都可以看見這樣的應用。
首先各家網站會開始提供用生物辨識技術(例如指紋)來重新登入的功能,至於全面的無密碼首次登入功能則需要更多時間準備。不過未來我們可能享受到簡便又高度安全的登入體驗,像是藉由解鎖手邊的手機來登入電腦網頁。
— Sam Srinivas,產品管理主管
零信任架構 (Zero Trust) 由發想邁入執行階段
有鑑於各組織進一步採用商業導向的雲端服務,以及因應員工從任一地點、時間點、裝置上取得工作資源之需求,「零信任」架構與執行自始至終都是資安領域的熱門話題。
Google BeyondCorp 模式讓企業能夠實際執行此概念。2019 年情況將有所改變:服務、商品供應者將推出成套的商業解決方案,其中零信任的概念不過是必要的基礎設定,就像我們在 Istio 等專案中看到的那樣。
— Jennifer Lin,商品管理主管
身份識別加入機器學習與智能以保障使用者安全
在身份識別與訪問管理 (IAM) 專業領域中,針對使用者或基礎架構的攻擊將不會中止,並且在攻擊規模、力道、精確度上都會提高。因此各組織將選擇具備機器學習技術之 IAM 解決方案,以求運用巨量資料並自動化探索、配置、回應等功能,減輕 IT 與資安部門的負擔。
— Karthik Lakshminarayanan,產品管理主管
能見度更高的自主管理雲端加密
自主管理的加密金鑰能提供額外的資料存取掌控、更明確的稽核,以協助達成政策或管制要求,也能控管服務提供者的訪問。然而,未來幾年將會出現因顧客管理安全金鑰的失誤而產生的重大資料損失個案。
雲端服務商會持續建立預設標準的安全金鑰管理功能,擴大保障範圍以覆蓋更多項服務,並且提供顧客更精細的資安選項;這些新選項會在顧客自主管理以及更堅實的持續性、可用性之間取得平衡。
因此自主性安全金鑰演進的同時,顧客也能期待運用該功能來管理自己的加密金鑰。
— Scott Ellis,產品經理,Google Cloud
攻擊者將發動更縝密的攻擊以瞄準雲端環境–例如容器(Container)
我們都看過針對容器設置的公開攻擊,但大多都是唾手可得的目標,或者像在虛擬機器上進行的模擬攻擊,例如錯誤配置、攻擊公開程式碼的驗證和機密資訊等,他們就如同意外敞開的門。
一旦容器運用更加普遍,我們會看見針對容器架構或弱點的進階攻擊。因此許多管理員會選擇能夠確保容器安全、預設最佳實踐的雲端管理服務。
— Maya Kaczorowski,產品經理,Google Cloud
開源軟體的脆弱點會日益顯著,需要更嚴謹的測試
透過原始程式碼庫(Source Code Repository)把攻擊弱點引入開源軟體是一種有效的攻擊手段,因為許多下游使用者尚未檢查或測試,即會開始使用軟體。
這的確可能造成廣泛的損害,也因為如此更多公司會使用持續性的弱點掃描工具。
— Matthew O’Connor,產品經理,OCTO
GDPR 去年上路後,關於傳統系統(LEGACY SYSTEM)的資安報導將增加兩倍以上
在歐盟 GDPR 管制下,只要是牽涉到歐盟個人可識別資訊(Personally Identifiable Information, PII)的資安事件就必須回報給資料保護相關當局,否則得面臨大筆罰金。單單在英國,與2017 一整年相比,2018 上半年資料外洩的主動回報就增加了 30%。
GDPR 管制下第一批罰款可能會在 2019 年發出,而有了公部門、法條的監管之後,伴隨而來的高透明度可能會凸顯傳統系統的脆弱,進而促進雲端服務的採用,主因雲端在企業隱私管理的工具與程序上皆以遵照GDPR而設計。
— James Snow,顧客工程經理, Security & Compliance
高度遵循法規的企業將選擇能提供即時監控、管理且能保持作業順暢之雲端服務商
使用公用雲(public cloud)的主要好處之一是能為你打造到位的基礎建設,但顧客卻往往無法完全了解或掌握雲端服務商的行為。
而在 2019 年,公司對於雲端管理員如何使用公司資料的掌握度將更高,受嚴密監管的產業尤其如此。在資料與作業掌控方面,顧客可以更加安心。
— Joseph Valente and Michee Smith,產品經理,Google Cloud
