2019年的網路安全圈將會發生什麼？

還有十多天，整個2018年就要過去了，然而我們卻過得並不太平。在這一年裡，幾乎每個月都有安全事件發生。例如前陣子鬧得沸沸揚揚的萬豪酒店集團，又或是更早些的英特爾“Meltdown”和“Spectre”兩大新型漏洞，Facebook使用者資料洩露以及蘋果iOS iboot原始碼洩露等等。那麼到了2019年，網路安全域性勢又會怎樣發展呢？

　　想必各位還記得“微信支付”勒索病毒事件，要知道2017年剛曝出WannaCry時，還只支援比特幣支付贖金，而現在，不僅有漢化版的勒索說明，更出現了微信支付贖金的方式。到了2019年，勒索軟體活躍度相對將有所下降，但破壞性仍持續上升，呈現集中且更具針對性的發展趨勢。根據卡巴斯基的統計，2017至2018年遭遇勒索軟體攻擊的使用者數量相比2016至2017年下降了近三成。賽門鐵克也曾表示，擁有複雜勒索軟體攻擊能力的網路犯罪集團，現更關注那些與市政、醫療機構有關的美國公司。

此外，相比勒索軟體這種正大光明的攻擊方式，不法分子更青睞利用惡意挖礦指令碼和軟體直接獲取收益。顯然，各類軟/硬體所暴露出來的漏洞，已然成為玩惡意外掛的樂員，植入惡意挖礦外掛的成本越來越低。實際上，在過去一年間受到挖礦指令碼困擾的使用者數量增加了44.5%，並將在2019年繼續擴大，對於各類業務的破壞也會進一步加強，只要加密貨幣還有價值，不法分子就會一直盯著這塊“蛋糕”。

從美國廢棄網路中立原則，到歐盟出臺GDPR(通用資料保護規範)，以及近日澳大利亞新設立的反加密網路法等等系列措施，不難看出各國對於網路與資料安全的政策正在一步步收緊，從側面也反映出各國政府對網路安全問題的不安。但與此同時，多國政策也加速了網路的巴爾幹化，由於資料不互通，缺少全球性的聯動，使得網路安全正在被孤立起來。未來，這一形勢恐怕還將繼續加深，像多米諾一樣帶來可怕的連鎖反應。

針對資料安全，2019年開始，不法分子將從竊取資料向操縱資料轉變。換言之，就是從純粹的資料竊取、網站入侵，向攻擊資料完整性轉變。比起簡單的資料竊取，後者的攻擊通過讓人們質疑相關資料的完整性而對個人或群體造成長期的聲譽損害。

頻頻發生的個人賬號被盜，已經向我們發出預警，單一的身份驗證已不能很好的保護我們得賬號安全。因此，未來多重身份驗證將成為所有線上交易的標準。儘管多因素身份驗證並非最完美的解決方案，但大多數的網站和線上服務將在2019年放棄只使用密碼的訪問機制，同時增加其他必需或可選的身份驗證方法，已越來越多的供應商都在部署不同的身份驗證體系，但在統一標準化的流程全面普及之前，情況不會太樂觀。

另外，賬號被盜也使攻擊者所掌握的個人資訊維度更多，因此他們將能發起更具針對性的網路釣魚攻擊，且成功率更高。其中，魚叉式網路釣魚手段正在變成從入侵電子郵件系統開始，進而潛伏並研究使用者，豐富攻擊者的資訊，之後利用經常溝通的社交圈人際關係和信任發動攻擊。

當中，抵押貸款詐騙又是魚叉式網路釣魚攻擊的重災區，尤以購房者會騙居多，款項巨大且很難被追回。通常，攻擊者會先入侵抵押貸款人(或代理人)的電腦，記錄所有即將執行或待定的交易及其截止日期。然後，代理人通常會發送電子郵件告知客戶將資金髮往哪裡，這個時候欺詐就發生了。

鑑於此，未來對CSO和CISO的要求也將越來越高，網路安全教育行業也會變得愈發成熟，單憑一紙證書證將不再能夠支援專業人員在其職業生涯中輕鬆前進，現階段大雜燴一樣的培訓市場和體系也將被整治，取而代之的是更多科班出身的從業人員擔任首席資訊保安官，比如網路安全碩士。

隨著聯網裝置數量的劇增，以及人工智慧進一步應用，很難說未來有人工智慧不會助力網路攻擊，而有人工智慧的加入將能夠幫助攻擊者模仿特定使用者的行為，甚至欺騙熟練的安全人員。其攻擊行為可能包括實施複雜的、定製化的網路釣魚活動，這些活動將成功欺騙我們。

最後我們想說，如今數字邊界正在遭受來自各方的安全考驗，而2019年的網路安全域性勢也並不樂觀。