新的一年如何在網路威脅四伏的環境中進行部署？請參考以下非常可能對您公司造成影響的趨勢與活動

要預測明年網路安全和隱私權的重大趨勢，過去 12 個月的事件已經透露許多線索。網路駭客攻擊仍是 2018 年企業重要系統與網站最常遇到的攻擊形式，這也將成為 2019 年的網路安全議題之一。全球許多知名組織今年都因出現重大漏洞而蒙受損失，其中行銷與資料彙整公司 Exactis 資料外洩的規模可能最為龐大，內含近 3.4 億筆個人資訊記錄的資料庫外洩。
2018 年除了企業司空見慣的攻擊，針對各種目標和受害者的威脅活動也大幅增加。在社交網路方面，Facebook 估計駭客竊取近 3000 萬名用戶的使用者資訊。民族國家的網路刺探與攻擊也層出不窮，他們試圖不法存取企業機密或政府，以及基礎設施系統內的所有敏感內容。在個人方面，Under Armour MyFitnessPal 的健康追蹤帳戶資料外洩，導致約 1.5 億名民眾的個資遭竊。
綜合以上所述，明年可能會出現哪些網路安全事件呢？以下提供 2019 年開始極為可能影響企業、政府和個人的部分趨勢與活動。

攻擊者將利用人工智慧 (AI) 系統來強化攻擊
各界引頸期盼的 AI 商業化近幾年開始付諸實現，許多企業經營的領域都已經在使用搭載 AI 的系統。這些系統輔助手動作業自動化，並強化決策制定與其他人工活動的同時，也成為伺機攻擊的目標，因為許多 AI 系統內都存有大量的資料。
此外，研究人員愈加憂慮這些系統極可能遭輸入惡意內容，造成其中的邏輯損毀而影響運作，部分 AI 技術十分脆弱，相關隱憂將於 2019 年加劇。某方面而言，針對重要 AI 系統的攻擊事件，將重現過去 20 年網路發展的歷程，尤其是在採用網路的電子商務爆炸性成長後，網路快速吸引了網路罪犯與駭客的目光。 
攻擊者不只會針對 AI 系統，更會自行吸收 AI 技術，進一步強化他們的犯罪活動。自動化系統在 AI 加持之下，將能夠刺探網路與系統，搜尋可刺探利用的隱匿漏洞。AI 也能用更先進的手法，精心製作極為真實的影片、音訊或電子郵件，專門欺騙個人目標，進行網路釣魚和其他社交工程攻擊。AI 還能製造真假難辨的不實資訊，用於興風作浪。試想 AI 製作出一部幾可亂真的影片，內容是公司執行長宣佈大規模財務損失、重大安全漏洞或其他要聞。這類假影片大肆流竄後，在各界理解事情真相前，該公司可能已經蒙受巨大影響。
現在網路就能購買攻擊工具組，攻擊者要製造新的威脅相對容易，因此我們確信採用 AI 的攻擊工具遲早會出現，連次級罪犯都將能夠發動複雜的目標式攻擊。搭載 AI 的工具能夠以自動且高度個人化的手法發動攻擊，在這類工具組的幫助之下，發動攻擊不再需要耗費大量人力和成本，而且每次擬定目標式攻擊的邊際成本會趨近於零。

抵禦措施將更加仰賴 AI 來反擊與辨別漏洞
AI 相關的資安也有好的一面，威脅辨識系統已會使用機器學習技術識別全新威脅。此外，不是只有攻擊者可以使用 AI 系統來刺探開放式漏洞，防禦者也可使用 AI，進一步強化環境來避免攻擊。舉例來說，搭載 AI 的系統可不斷對企業網路發動一系列模擬攻擊，企業可藉由這不間斷的攻擊來找出漏洞，並在攻擊者發現前加以解決。
在居家生活方面，AI 和其他技術也可望開始協助個人善加保護自身的數位安全與隱私。AI 可嵌入手機，藉此警告使用者特定動作的風險，例如，當您在手機上設定新的電子郵件帳戶後，系統可能會自動提醒您設定雙重驗證。當大眾習慣提供個資換取應用程式的使用或額外益處，此類安全型 AI 也有助理解這其中的權衡。

5G 部署和採用率的提升將使攻擊層面擴大
今年數項 5G 網路基礎架構開始部署，2019 年的 5G 活動將會加速成形。雖然要廣泛部署 5G 網路、5G 手機和其他裝置仍須時間，但成長將會十分快速。例如，IDG 將 2019 年稱為 5G 「元年」，並預測 5G 和相關網路基礎架構市場將從 2018 年的 5.28 億美元，成長到 2022 年的 260 億美元，年複合成長率達到 118%。
雖然 5G 的焦點都落在智慧型手機，但明年 5G 手機發行的數量應有限，而為了擴大 5G 行動網路部署，部分電信業者正推出家用固定 5G 行動熱點及 5G 路由器。由於 5G 網路的尖峰資料傳輸率為 10 Gbps (相對於 4G 僅 1 Gbps)，因此改採 5G 將催生全新的營運模式、新的架構，當然也會出現新的漏洞。 
未來更多 5G 物聯網裝置將不再需要透過無線網路路由器，即可直接連線至 5G 網路，如此一來將使這些裝置更容易直接遭受攻擊。家庭使用者也會更難以監控所有物聯網裝置，因為這些裝置將繞過中央路由器。更廣泛而言，我們輕鬆在雲端儲存空間備份或傳輸大量資料，也同時給予攻擊者各種全新的攻擊目標。 

物聯網相關的大規模 DDoS 攻擊將轉型為更加危險的全新攻擊
最近幾年，傀儡網路發動的大規模分散式阻斷服務 (DDoS) 攻擊，利用數以萬計遭感染的物聯網裝置，傳送超大流量給受害者，進而癱瘓其網站。媒體至今仍未關注此類攻擊，但明年仍會是重大威脅。在此同時，部分安全性低的物聯網裝置也將因其他危害而遭受攻擊，其中最令人頭痛的是，連結數位和實體世界的物聯網裝置遭受攻擊，因為這些物聯網驅動的物件部分具有動能 (如汽車和其他交通工具)，其他則控制重要的系統。控制關鍵基礎設施 (如配電和通訊網路) 的物聯網裝置遭受攻擊的次數預計將持續攀升。此外，隨著家用物聯網裝置變得更為全面，這些裝置未來都可能成為武器，例如，在寒冬關閉敵國家庭的恆溫控制器。

攻擊者將擷取更多傳輸中的資料
家用無線網路路由器和其他安全性不佳的消費性物聯網裝置，將被攻擊者以全新方式刺探利用，其中一個已經出現的刺探方式就是，將物聯網裝置編組來發動大規模挖礦綁架 (cryptojacking)，藉此挖掘加密貨幣。
2019 年以後，將有更多惡意份子嘗試存取家用路由器和其他物聯網集線器，藉此擷取傳輸部分資料。例如，插入這類路由器的惡意軟體可能會竊取銀行交易憑證、擷取信用卡號碼，或在使用者面前顯示詐騙惡意網頁以騙取機密資訊。目前這類敏感資料，未傳輸時的保護措施通常較佳，例如，電子商務商家不儲存信用卡 CVV 號碼，讓攻擊者難以從商家資料庫內竊取信用卡號碼。當然，攻擊者的技術會持續演進，以在消費者傳輸資料時加以竊取。
就企業層面而言，2018 年出現多起傳輸中資料遭竊的案例。攻擊集團 Magecart 從電子商務網站竊取信用卡號碼和其他消費者的敏感資訊，方法是將惡意程式碼直接植入目標網站，或是入侵該網站使用的第三方供應商，這種「表單點擊劫持」(formjacking) 攻擊最近已對全球數家公司的網站造成影響。在另一起針對企業傳輸中資料的攻擊中，VPNFilter 惡意軟體也感染許多路由器和連接網路的儲存裝置，藉此竊取憑證、修改網路流量、解密資料，並以此作為端點，對目標企業發動惡意攻擊。 
2019 年攻擊者可能會持續針對企業網路攻擊，因為攻擊一旦得手，就能從受害者身上取得營運和基礎架構等專屬資訊。

刺探利用供應鏈的攻擊頻率與幅度將會增加
攻擊者會在常見的傳播點將惡意軟體植入合法軟體套件，因此軟體供應鏈日益成為攻擊者的目標，這種攻擊可能會發生在軟體廠商或第三方供應商生產期間。典型的攻擊情境是，攻擊者用惡意版本取代正當軟體更新，偷偷地將其迅速散佈給目標。凡是使用者接收到該軟體更新，他們的電腦就會自動受到感染，讓攻擊者在使用者的環境中取得立足之地。
這類攻擊數量持續增加，複雜程度也隨之上升，未來更可能出現感染硬體供應鏈的攻擊行為。例如，攻擊者可能會入侵或修改晶片，或者在 UEFI/BIOS 的韌體新增原始程式碼，之後這些元件再傳送給數百萬台電腦。這類威脅非常難以移除，甚至在受影響電腦重新開機或硬碟重新格式化後，問題可能依然存在。 
總之，攻擊者將持續搜尋全新的機會，並以更複雜的手法滲透目標企業的供應鏈。

安全性及隱私權疑慮上升將促使法規層面採取更多行動
歐盟於 2018 年中實施的一般資料保護規範 (GDPR) 有可能引領歐盟以外的國家或地區實行各種安全性及隱私權措施。加拿大已經實施類似 GDPR 的法規，而巴西甫通過的隱私權法規也與 GDPR 相似，將於 2020 年生效。新加坡與印度正在進行諮詢以設立資料外洩通報制度，而澳洲則已經採取與 GDPR 不同的通報時程。全球還有其他數國已制定完備法規，或者正在商討 GDPR 是否充足。GDPR 生效後，美國加州隨即通過至今仍視為美國最嚴格的隱私權法。我們預計 GDPR 對全球的完整影響將於明年逐漸釐清。
在美國聯邦政府層級，國會正在插手介入安全性和隱私權等領域，相關立法可望受到各界歡迎，具體法條可能會在明年實現。隨著美國 2020 年總統大選開跑，選舉系統的安全性當然會持續成為焦點。  
因應安全性和隱私權需求而制定的法規幾乎確定會增加，但是法規的部分要求可能會造成反效果。例如，涵蓋層面過廣的規定，可能會使資安公司在辨識並應對攻擊時，連一般資訊都無法公開。如果未思慮周詳，在安全性與隱私權法規修正漏洞的同時，有可能也會產生新的漏洞。