2018年過去了，在這一年里，幾乎每個(gè)月都有安全事件發(fā)生。例如前陣子鬧得沸沸揚(yáng)揚(yáng)的萬豪酒店集團(tuán)，又或是更早些的英特爾“Meltdown”和“Spectre” 兩大新型漏洞，F(xiàn)acebook用戶數(shù)據(jù)泄露以及蘋果iOS iboot源碼泄露等等。那么到了2019年，網(wǎng)絡(luò)安全局勢又會怎樣發(fā)展呢？

想必各位還記得“微信支付”勒索病毒事件，要知道2017年剛曝出WannaCry時(shí)，還只支持比特幣支付贖金，而現(xiàn)在，不僅有漢化版的勒索說明，更出現(xiàn)了微信支付贖金的方式。到了2019年，勒索軟件活躍度相對將有所下降，但破壞性仍持續(xù)上升，呈現(xiàn)集中且更具針對性的發(fā)展趨勢。

根據(jù)卡巴斯基的統(tǒng)計(jì)，2017至2018年遭遇勒索軟件攻擊的用戶數(shù)量相比2016至2017年下降了近三成。賽門鐵克也曾表示，擁有復(fù)雜勒索軟件攻擊能力的網(wǎng)絡(luò)犯罪集團(tuán)，現(xiàn)更關(guān)注那些與市政、醫(yī)療機(jī)構(gòu)有關(guān)的美國公司。

此外，相比勒索軟件這種正大光明的攻擊方式，不法分子更青睞利用惡意挖礦腳本和軟件直接獲取收益。顯然，各類軟／硬件所暴露出來的漏洞，已然成為玩惡意插件的樂員，植入惡意挖礦插件的成本越來越低。實(shí)際上，在過去一年間受到挖礦腳本困擾的用戶數(shù)量增加了44．5％，并將在2019年繼續(xù)擴(kuò)大，對于各類業(yè)務(wù)的破壞也會進(jìn)一步加強(qiáng)，只要加密貨幣還有價(jià)值，不法分子就會一直盯著這塊“蛋糕”。

從美國廢棄網(wǎng)絡(luò)中立原則，到歐盟出臺GDPR（通用數(shù)據(jù)保護(hù)規(guī)范），以及近日澳大利亞新設(shè)立的反加密網(wǎng)絡(luò)法等等系列措施，不難看出各國對于網(wǎng)絡(luò)與數(shù)據(jù)安全的政策正在一步步收緊，從側(cè)面也反映出各國政府對網(wǎng)絡(luò)安全問題的不安。但與此同時(shí)，多國政策也加速了網(wǎng)絡(luò)的巴爾干化，由于數(shù)據(jù)不互通，缺少全球性的聯(lián)動(dòng)，使得網(wǎng)絡(luò)安全正在被孤立起來。未來，這一形勢恐怕還將繼續(xù)加深，像多米諾一樣帶來可怕的連鎖反應(yīng)。

針對數(shù)據(jù)安全，2019年開始，不法分子將從竊取數(shù)據(jù)向操縱數(shù)據(jù)轉(zhuǎn)變。換言之，就是從純粹的數(shù)據(jù)竊取、網(wǎng)站入侵，向攻擊數(shù)據(jù)完整性轉(zhuǎn)變。比起簡單的數(shù)據(jù)竊取，后者的攻擊通過讓人們質(zhì)疑相關(guān)數(shù)據(jù)的完整性而對個(gè)人或群體造成長期的聲譽(yù)損害。

頻頻發(fā)生的個(gè)人賬號被盜，已經(jīng)向我們發(fā)出預(yù)警，單一的身份驗(yàn)證已不能很好的保護(hù)我們得賬號安全。因此，未來多重身份驗(yàn)證將成為所有在線交易的標(biāo)準(zhǔn)。盡管多因素身份驗(yàn)證并非最完美的解決方案，但大多數(shù)的網(wǎng)站和在線服務(wù)將在2019年放棄只使用密碼的訪問機(jī)制，同時(shí)增加其他必需或可選的身份驗(yàn)證方法，已越來越多的供應(yīng)商都在部署不同的身份驗(yàn)證體系，但在統(tǒng)一標(biāo)準(zhǔn)化的流程全面普及之前，情況不會太樂觀。

另外，賬號被盜也使攻擊者所掌握的個(gè)人信息維度更多，因此他們將能發(fā)起更具針對性的網(wǎng)絡(luò)釣魚攻擊，且成功率更高。其中，魚叉式網(wǎng)絡(luò)釣魚手段正在變成從入侵電子郵件系統(tǒng)開始，進(jìn)而潛伏并研究用戶，豐富攻擊者的信息，之后利用經(jīng)常溝通的社交圈人際關(guān)系和信任發(fā)動(dòng)攻擊。

當(dāng)中，抵押貸款詐騙又是魚叉式網(wǎng)絡(luò)釣魚攻擊的重災(zāi)區(qū)，尤以購房者會騙居多，款項(xiàng)巨大且很難被追回。通常，攻擊者會先入侵抵押貸款人（或代理人）的電腦，記錄所有即將執(zhí)行或待定的交易及其截止日期。然后，代理人通常會發(fā)送電子郵件告知客戶將資金發(fā)往哪里，這個(gè)時(shí)候欺詐就發(fā)生了。

鑒于此，未來對CSO和CISO的要求也將越來越高，網(wǎng)絡(luò)安全教育行業(yè)也會變得愈發(fā)成熟，單憑一紙證書證將不再能夠支持專業(yè)人員在其職業(yè)生涯中輕松前進(jìn)，現(xiàn)階段大雜燴一樣的培訓(xùn)市場和體系也將被整治，取而代之的是更多科班出身的從業(yè)人員擔(dān)任首席信息安全官，比如網(wǎng)絡(luò)安全碩士。

隨著聯(lián)網(wǎng)設(shè)備數(shù)量的劇增，以及人工智能進(jìn)一步應(yīng)用，很難說未來有人工智能不會助力網(wǎng)絡(luò)攻擊，而有人工智能的加入將能夠幫助攻擊者模仿特定用戶的行為，甚至欺騙熟練的安全人員。其攻擊行為可能包括實(shí)施復(fù)雜的、定制化的網(wǎng)絡(luò)釣魚活動(dòng)，這些活動(dòng)將成功欺騙我們。

最后我們想說，如今數(shù)字邊界正在遭受來自各方的安全考驗(yàn)，而2019年的網(wǎng)絡(luò)安全局勢也并不樂觀。