有沒有想過 2035 年的網路安全狀況會是什麼樣子?雖然 10 年似乎距離現在還有很長的路要走,但該資安行業的發展速度肯定會在讓下一個十年飛速發展。預測網路安全的未來不僅僅是為了好玩而看預測是否準確。通過這個設想這行業在未來 10 年後將如何變化,CIO和CISO可以為未來的挑戰做好準備,這樣他們就不會後悔並希望自己在 2024 年就採取應對行動。
密碼的歷史包袱
第一個想到的是密碼的變革,這個已經困擾我們幾十年的安全問題。密碼幾十年來,產業界一直在討論它的滅亡,它實在不人道。然而今天,我們卻以前所未有的速度積累它們。 讓威脅行為者有機會竊取我們密碼的攻擊,在 10 年後仍然是一樣的。所有駭客攻擊和惡意軟體都利用的10個根源技術,包括社會工程、未修補的軟體、配置錯誤和竊聽竊錄。30多年前當我們剛開始接觸資訊行業時,使用的方法與今天仍然相同,他們並沒有發明新的駭客攻擊方式。要改變這局面,勢必要用不同方式驗證身分,減低依賴密碼機制。
但不幸的,未來密碼仍然會存在,但可能退居輔助腳色。即便你可以刷臉認證iPhone,仍然需要Pin Code作為還原計畫驗證。
雲端服務的使用
如果說 IT 的一個方面在過去 10 年中經歷了最大的變革,那無疑是雲端服務的使用。在2035年,雲端會繼續前進,或者可以移轉到地端嗎?取決於你的應用領域,雲端使得將服務上線和收集大量數據變得比以往任何時候都更快、更便宜、更容易,而且不受地理限制。 但是這意味著更容易讓所有事情都暴露在外,更容易讓資料外洩的量更大。我們現在看到的很多案例,損失的資料量都比地端服務大上幾個量級。這些因素在未來十年內不會減少,主要因為需求如此之高。當然,我們想要便宜、無處不在的雲服務;有些應用不會消失,例如我們想把洗衣機、冰箱連接到互聯網,這不會改變。
預計雲端計算的未來可能是短暫的,現在出現在雲端的事情可能會回到本地端。將會有更多的封閉型網路,每個網路為承載不同應用類型的流量,這與情報單位界使用的網路架構類似。 會有不安全的網路區段,安全的網路區段。然而,雲端服務未來永遠不會消失,但會在一段時間內向本地之間擺動,並非所有服務都適合。
AI在資安上的角色
然而,人工智慧需要大量數據,而數據從哪裡來、如何處理以及這些過程及結果,將須滿足身份識別和安全性感的需求。可以理解的是,大多人擔心這些數據利用的安全性。據NSA 2023 年的一項調查發現,81% 的受訪者擔心與 ChatGPT 和生成式 AI 相關的安全風險,而只有 7% 的受訪者對 AI 工具將會增強網路安全持樂觀態度。因此,對於人工智慧技術來說,強而有力的網路安全措施將變得更加重要。
此外,源於人工智慧天性需要大量數據,公司需要精確限制共享的數據,因為它會創建另一個數據可能被洩露到第三方。甚至 ChatGPT 本身也因 Redis 開源庫的漏洞而遭受資料洩露,允許用戶存取他人的聊天對話記錄。 OpenAI 迅速解決了這個問題,但它凸顯了聊天機器人和用戶的潛在風險。一些公司已經開始完全禁止使用 ChatGPT 以保護敏感數據,而另一些公司則正在實施人工智慧政策來限制可以與人工智慧共享的數據。
這裡的教訓是,雖然威脅行為者正在發展在新的攻擊中使用人工智慧,但公司需要熟悉潛在的妥協威脅,以便防範它們。但在網路安全領域中AI也有大量的正面發展機會,應用人工智慧來改善威脅偵測、預防和事件回應。因此,組織需要了解人工智慧在網路安全方面的機會和弱點,以領先即將到來的威脅。
網路安全的技術落差與專業人員短缺
最後我們需要正視大量尚未填補的網路安全職缺。數位願景因技術創新和進步而蓬勃發展,但它也隱藏著隱憂;即網路安全專業人員嚴重短缺。如果我們不能解決這一關鍵難題,我們怎麼能跟得上AI 與雲端的發展?合格人才的嚴重短缺威脅著我們的整體網路安全。
原因之一是技術落差擴大,2023年的調查有 20% 的組織承認,缺乏確保其運營安全的基本技能。再者是不確定性增加:越來越多的領導者對其團隊的安全技能組合顯現懷疑,凸顯了他們日益增長的脆弱信任感。例如以技術面說明雲端的安全性,很難有效說服管理階層。強大的軟實力,如溝通、解決問題和團隊合作,在網路安全領域同樣至關重要。
在技術專長上的擔憂,技術落差的風險甚至超過了在職務上技術熟練程度。這可以理解,一般規模組織的資安編制之下,不太可能與駭客攻擊者的技術水準相匹敵。由此帶來的新興市場需求,可能讓專業資安服務代勞的趨勢成長,而非組建專門資安團隊。
結論
不僅限於上述領域,還有許多的新興發展是我們尚未認知到的。由於網路威脅不斷升級以及人們對保護敏感資訊重要性的認知強烈,為網路安全產業提供了巨大的成長機會。透過利用新興技術、專注於特定行業的解決方案並促進合作,組織可以在這個快速發展的市場中蓬勃發展,並有效應對未來十年的網路安全挑戰。