還(hái)有十多天，整個2018年(nián)就(jiù)要過去(qù)了，然而我們卻過得(de)并不太平。在這一年(nián)裡(lǐ)，幾乎每個月都(dōu)有安全事(shì)件(jiàn)發生(shēng)。例如(rú)前陣子鬧得(de)沸沸揚揚的萬豪酒店(diàn)集團，又或是更早些的英特爾“Meltdown”和“Spectre”兩大(dà)新型漏洞，Facebook用戶數據洩露以及蘋果iOS iboot源碼洩露等等。那麽到了2019年(nián)，網絡安全局勢又會怎樣發展呢(ne)？

想必各位還(hái)記得(de)“微信支付”勒索病毒事(shì)件(jiàn)，要知道2017年(nián)剛曝出WannaCry時，還(hái)隻支持比特币支付贖金，而現在，不僅有漢化版的勒索說(shuō)明，更出現了微信支付贖金的方式。到了2019年(nián)，勒索軟件(jiàn)活躍度相(xiàng)對将有所下降，但(dàn)破壞性仍持續上升，呈現集中且更具針對性的發展趨勢。根據卡巴斯基的統計(jì)，2017至2018年(nián)遭遇勒索軟件(jiàn)攻擊的用戶數量相(xiàng)比2016至2017年(nián)下降了近三成。賽門(mén)鐵克也曾表示，擁有複雜勒索軟件(jiàn)攻擊能力的網絡犯罪集團，現更關注那些與市政、醫療機構有關的美國(guó)公司。

此外，相(xiàng)比勒索軟件(jiàn)這種正大(dà)光(guāng)明的攻擊方式，不法分(fēn)子更青睐利用惡意挖礦腳本和軟件(jiàn)直接獲取收益。顯然，各類軟/硬件(jiàn)所暴露出來(lái)的漏洞，已然成爲玩惡意插件(jiàn)的樂員(yuán)，植入惡意挖礦插件(jiàn)的成本越來(lái)越低。實際上，在過去(qù)一年(nián)間受到挖礦腳本困擾的用戶數量增加了44.5%，并将在2019年(nián)繼續擴大(dà)，對于各類業務的破壞也會進一步加強，隻要加密貨币還(hái)有價值，不法分(fēn)子就(jiù)會一直盯着這塊“蛋糕”。

從(cóng)美國(guó)廢棄網絡中立原則，到歐盟出台GDPR(通用數據保護規範)，以及近日(rì)澳大(dà)利亞新設立的反加密網絡法等等系列措施，不難看(kàn)出各國(guó)對于網絡與數據安全的政策正在一步步收緊，從(cóng)側面也反映出各國(guó)政府對網絡安全問(wèn)題的不安。但(dàn)與此同時，多國(guó)政策也加速了網絡的巴爾幹化，由于數據不互通，缺少全球性的聯動，使得(de)網絡安全正在被孤立起來(lái)。未來(lái)，這一形勢恐怕還(hái)将繼續加深，像多米諾一樣帶來(lái)可(kě)怕的連鎖反應。

針對數據安全，2019年(nián)開始，不法分(fēn)子将從(cóng)竊取數據向操縱數據轉變。換言之，就(jiù)是從(cóng)純粹的數據竊取、網站(zhàn)入侵，向攻擊數據完整性轉變。比起簡單的數據竊取，後者的攻擊通過讓人(rén)們質疑相(xiàng)關數據的完整性而對個人(rén)或群體(tǐ)造成長期的聲譽損害。

頻頻發生(shēng)的個人(rén)賬号被盜，已經向我們發出預警，單一的身(shēn)份驗證已不能很好的保護我們得(de)賬号安全。因此，未來(lái)多重身(shēn)份驗證将成爲所有在線交易的标準。盡管多因素身(shēn)份驗證并非最完美的解決方案，但(dàn)大(dà)多數的網站(zhàn)和在線服務将在2019年(nián)放(fàng)棄隻使用密碼的訪問(wèn)機制，同時增加其他(tā)必需或可(kě)選的身(shēn)份驗證方法，已越來(lái)越多的供應商都(dōu)在部署不同的身(shēn)份驗證體(tǐ)系，但(dàn)在統一标準化的流程全面普及之前，情況不會太樂觀。

另外，賬号被盜也使攻擊者所掌握的個人(rén)信息維度更多，因此他(tā)們将能發起更具針對性的網絡釣魚攻擊，且成功率更高。其中，魚叉式網絡釣魚手段正在變成從(cóng)入侵電子郵件(jiàn)系統開始，進而潛伏并研究用戶，豐富攻擊者的信息，之後利用經常溝通的社交圈人(rén)際關系和信任發動攻擊。

當中，抵押貸款詐騙又是魚叉式網絡釣魚攻擊的重災區，尤以購(gòu)房(fáng)者會騙居多，款項巨大(dà)且很難被追回。通常，攻擊者會先入侵抵押貸款人(rén)(或代理(lǐ)人(rén))的電腦，記錄所有即将執行或待定的交易及其截止日(rì)期。然後，代理(lǐ)人(rén)通常會發送電子郵件(jiàn)告知客戶将資金發往哪裡(lǐ)，這個時候欺詐就(jiù)發生(shēng)了。

鑒于此，未來(lái)對CSO和CISO的要求也将越來(lái)越高，網絡安全教育行業也會變得(de)愈發成熟，單憑一紙證書(shū)證将不再能夠支持專業人(rén)員(yuán)在其職業生(shēng)涯中輕松前進，現階段大(dà)雜燴一樣的培訓市場和體(tǐ)系也将被整治，取而代之的是更多科(kē)班出身(shēn)的從(cóng)業人(rén)員(yuán)擔任首席信息安全官，比如(rú)網絡安全碩士。

随着聯網設備數量的劇(jù)增，以及人(rén)工(gōng)智能進一步應用，很難說(shuō)未來(lái)有人(rén)工(gōng)智能不會助力網絡攻擊，而有人(rén)工(gōng)智能的加入将能夠幫助攻擊者模仿特定用戶的行爲，甚至欺騙熟練的安全人(rén)員(yuán)。其攻擊行爲可(kě)能包括實施複雜的、定制化的網絡釣魚活動，這些活動将成功欺騙我們。

最後我們想說(shuō)，如(rú)今數字邊界正在遭受來(lái)自(zì)各方的安全考驗，而2019年(nián)的網絡安全局勢也并不樂觀。