流動設備和應用激增將衍生更多資安問題

隨著流動設備廣泛普及、流動應用急增及雲端運算持續增長正加速企業創新及社會效益，不過恆常在線方式卻會為全球帶來嶄新且瞬息萬變的保安挑戰。剛剛收到一份由 Verizon 發表的 2011 年資料外洩調查報告顯示，數據攻擊在過去五年間上升了三倍，促使企業及消費者必須把平衡保安及風險定住首要任務。

以下是 2012 年的 13 項保安威脅預測：

1.      流動惡意程式數量持續攀升：針對流動設備的惡意程式將會持續增加，而企業將要致力抵禦這些威脅以保護用戶。這些惡意程式將會針對智能手機及平板電腦，當中似乎將為Android設備帶來最凌厲的攻擊，因為該操作平台擁有龐大市場佔有率，同時亦是開放式創新平台。所有流動平台將會受到持續增加的流動攻擊。

2.      罪犯將會瞄準並攻擊應用商店：受感染的應用將會超越經瀏覽器下載成為主要的攻擊來源。因為未經授權的應用商店未能實施完善的政策，使其成為流動惡意程式的主要來源。網絡罪犯將會在該應用商店發表受感染的應用，並試圖引誘用戶下載惡意應用。網絡罪犯亦會設法把其應用，在經授權的應用商店上發佈。同時，這些感染可輕易在智能手機間散播，繼而感染企業網絡，因此企業則要面對愈來愈高的風險。

3.      業界將會發展和部署應用記分系統應用：為了保障用戶，企業將會希望由第三方機構檢視其應用源碼。同樣地，企業亦希望確保運行在員工設備上的應用已核證為符合一定的標準。這意味著業界將會發展出一套記分系統，以協助確保用戶只下載適當及經公司認可的應用到商業設備上。

4.      內設保安功能的銀行應用將會湧現：用戶將會更經常使用流動設備檢視銀行資訊、轉帳、捐款至慈善團體及繳付貨品和服務的費用。不過，這個趨勢卻會為網絡罪犯製造更多機會，繞過保護機制而攻擊用戶。為了提升網上銀行的保安水平，銀行業界似乎會為客戶提供具備內置強大保安功能的應用。

5.      超高速連接功能導致持續增長的身份及私隱挑戰：在現今的營商環境中，有更多用戶需要以合法方式從更多的地點存取更多的數據。這需要透過更強大的身份驗證，部署更多可供合作夥伴存取的保安系統，以及改善數據流量記錄的管理及分析，以在所有接入點提供全面的數據保護。與此同時，保安問題亦包括跨平台惡意程式，旨在破壞企業在2012年將不能忽視這個問題，同時亦要作出慎重的選擇。

6.      數碼化醫療記錄衍生出新風險：在美國，醫療保健改革及刺激性資助將會繼續加速電子醫療紀錄及相關技術的應用。美國復甦及再投資法案 (American Recovery and Reinvestment Act) 要求所有醫療紀錄必須在2014年實行電子化，意味著在2012至2013年期間，相關行業必須完成大量工序。業界將會引入嶄新設備把敏感資訊傳送至傳統醫療保健服務供應商範圍以外的機構，同時有愈來愈多醫療保健服務供應商現正採用流動設備。加上保護新部署電子醫療紀錄系統的需求，保護流動設備及管理流動醫療應用將會繼續成為醫療保健界的焦點。

7.      流動及醫療設備將會開始融合：流動設備及醫療保健應用數量將會激增，同時亦會變得更加易於使用，例如把智能手機轉變為一個心臟監察器或糖尿病測試儀器。因此，有些專家相信，醫療保健集團將會宣布把流動設備作為醫療設備，並作出相應的控制及規管。隨著相互操作標準日漸成熟，有愈來愈多流動設備及傳統醫療設備將會成為醫療機構網絡的節點。這些設備亦將會與其他設備及用戶分享數據，所以該類設備亦會容易受到與電腦及其他網絡附加配件，如打印機及傳真機，同樣的威脅及漏洞所影響。

8.      智慧型網格保安標準將會持續演化：在美國，公用事業委員會及國家標準及技術研究所將會繼續發展智能網絡標準。每個州政府的公用事業委員會將會在明年於標準應用中達成共識。政府將會日益需要公用事業機構展示其智能型網絡及先進的計量架構不僅保護消費者的私隱及用量數據，同時亦必須保護先進計量架構本身。在一定程度上，一個單一聯邦框架將會取代州政府的規管及要求。

9.      IPv6將會衍生全新的保安問題：美國聯邦政府現正考慮是否部署IPv6設備，同時間企業已開始由IPv4遷移至IPv6架構。這將會持續衍生保安問題，同時IPv6的漏洞及威脅將會在2012年製造不少問題。此外，邊界網關通訊協定 (Border Gateway Protocol) 及域名系統這兩項互聯網基礎機制亦將會推出新一代版本。在2012年，有不少企業將會開始遷移至這些新版本，並會製造新一輪漏洞及被入侵的機會。

10.  社交工程會產生更多威脅：有更多針對性的網絡釣魚攻擊，即是針對特定企業、希望以非法方式存取機密數據的電郵詐騙活動，這將會是2012年主要的社交工程威脅。隨著智能設備的用戶群顯著急升，教育用戶社群有關安全使用電腦習慣將會更具挑戰。社交網站將會繼續部署可以保護用戶免受惡意程式、濫發訊息及網絡釣魚攻擊的解決方案，但更先進的威脅卻會繼續引誘用戶瀏覽欺詐網站，或於網上洩露個人敏感資訊。

11.  保安認證計劃將會日漸普及：隨著政府加快要求旗下部門部署雲端運算及身份驗認技術，保安認證數量將會持續攀升；預期私人機構亦會有同樣情況。互聯網威脅將會繼續影響企業、政府及用戶對商用及私人運算設備的信心，繼而造成大混亂。對於所有測試機構的挑戰將會是時刻掌握瞬息萬變的威脅情況，並相應改變測試方法。有一些測試機構或許建議把保安方案公司作單一個體認證，而不只是向有關公司提供的產品或服務作出認證。

12.  「大數據」將會變得更大，因而必須妥善保護：現時已有妥善的工具管理「大數據」這些大型數據集；而隨著有更多企業透過分析工具創製更大商業價值，「大數據」將於2012年更加普及。企業將會運用數據，以創造更多商機，同時強化以證據為基礎的決策，以達致更大的成果。不過，為了達到預期的成果，企業將必須全面保護這些數據。

13.  保護網上身份將會成為必要措施：隨著有愈來愈多的網上身份盜賊，消費者、企業及政府部門必須採用合適的方法去保護其身份。這些團體將期望方案供應商提供具成本效益的方案，以協助他們保護其身份，同時讓大家對網上服務有更大信心。

互聯網連接、流動設備及網絡應用的激增使人類生活更多姿多彩，同時全球市場湧現更多商機。不過，在這個超高速連接能力的時代中，使我們工作及私人生活的界線日漸模糊。因此，無論是企業用戶還是消費用戶，都有責任去保護我們的網上活動，同時採用相應的技術去保障我們的資產、身份及私隱。