在瞬息萬變的網路資安世界,2022 及 2023 年的趨勢演變以及 2024 年預測都活生生地描繪出一幅充滿挑戰與機會的場景。憑著身為技術與網路資安高階主管的豐富經驗,包括我在美國政府與私人企業所擔任過的職務,再加上我在複雜的網路資安情勢當中打滾的多年經歷,造就了我當前的觀點。這些洞察同時也是經由持續的學習以及與全球 CXX 高階領導人和政府官員充分交流的成果。
零信任架構:因應 2022 年不斷變化的網路資安
2022 年是網路資安界的一個轉捩點,該年牢牢地聚焦在零信任架構的觀念上。在資安威脅持續攀升的背景下,美國總統拜登所頒布的行政命令突顯出企業迫切需要強化自己的數位堡壘。
這一點在 Colonial Pipeline 網路攻擊事件發生之後變得更加迫切,而這也是左右拜登行政命令的關鍵分水嶺。當企業正在與老舊系統的複雜性、去中心化 IT 架構,以及緊縮的預算搏鬥時,建置一套全方位的零信任架構似乎已成為一項必要但卻令人望之卻步的挑戰。
拜登總統所提出的五項支柱成了討論的焦點,他並強烈要求所有 438 個聯邦機構都必須在 2024 年結束前指派一名負責官員。然而,一些現實的挑戰,如:專業人才短缺、抗拒改變、數十年下來累積的技術債,都是顯而易見的障礙。許多政府機關去中心化的特性也讓挑戰更加艱難,對於像美國國防部這麼龐大的機構來說,就連建置最基本的零信任架構也都幾乎是不可能的任務。
人工智慧:2023 年工作效率與道德的兩難
時序進入 2023 年,網路資安與數位情勢開始轉向人工智慧 (AI) 的導入。一個實際的案例是,在 AI 的協助下,一項針對兩個不同國家網路資安框架的交叉分析僅僅幾分鐘之內就能完成,充分展現了 AI 如何提升人們的工作效率。但這種新發現的效率卻引發了有關資料所有權與智慧財產的道德兩難。
所謂「垃圾進、垃圾出」的現象,突顯了資料的品質對於 AI 應用的重要性。身為一名網路資安專業人員,確保 AI 的輸入資料準確而符合道德,將成為預防隱私權侵犯與專屬資訊外洩最重要的環節。
AI 的問世確實帶來了「身分危機」,其中最受矚目的就是深偽 (Deepfake) 技術。這項技術能產生超逼真、但卻完全造假的內容,因而衍生了嚴重的挑戰。駭客採用 AI 與機器學習輔助的社交工程技巧發動精密又精緻的網路釣魚和網路攻擊,已經成為人心惶惶的現實問題。此外,AI 相關的對話必須延伸到道德層面,例如 AI 演算法所產生的智慧財產該歸誰所有,而這也激發了關於透明度與責任歸屬的討論。
地緣政治風險:預測 2024 年當中的一些挑戰
放眼 2024 年,地緣政治風險將成為大眾的目光焦點。國與國之間的緊張與網路攻擊息息相關,而且更容易出現國家資助的網路攻擊,從資訊戰到關鍵基礎設施癱瘓的風險將隨之而來。除了這些預測之外,其他的洞察還有供應鏈的實質問題與全球局勢的緊張。地緣政治事件 (如哈瑪斯和以色列的衝突),就是全球緊張局勢顯現於網路世界的最佳範例。
國與國之間的緊密連結,再加上網路攻擊能在沒有人員傷亡的情況下獲得戰略優勢,使得地緣政治風險將成為迫切的問題。歷史上的一些攻擊案例 (如 Stuxnet 與 SolarWinds) 突顯了地緣政治事件對網路資安的實質衝擊。正當各國都在小心處理脆弱的國際關係,網路攻擊的幽靈卻日益逼近,伴隨而來的是從資訊戰到基礎設施遭到破壞的風險。
結論:該是採取主動式網路資安的時候了
結論就是,零信任架構、人工智慧以及地緣政治風險三者都突顯了網路資安瞬息萬變的特質。企業必須隨時掌握情勢,採取全方位的資安策略,並且因應新興技術與地緣政治情勢所帶來的多面向挑戰。
我們該採取什麼行動已經很明顯,那就是:針對持續演變的威脅來強化防禦,在科技進步的同時也要高舉道德標準,並且預測地緣政治事件對於數位安全將帶來什麼連鎖效應。在一個數位與實體日益交織的時代,最重要的莫過於隨時保持警戒並採取前瞻性的作法來面對網路資安問題。
如需有關網路資安趨勢和預測的更多資訊,請參考以下資源: