北漂。長住的部落格

沒想到才剛整理完WEF-2022年全球風險報告後，立刻就在烏俄戰事中看到網路安全失效(Cybersecurity failures)所提到的大型資安威脅，包含散發假消息、對政權發動目標性攻擊、攻擊基礎設施…等手法，全數被運用在戰事中。有國界的實體戰爭，各國基於政治立場及諸多考量，多採非武力制裁策略支持烏克蘭；但超越國界的網路戰術彈性快速且全民皆可參與，只要有網路攻擊能力便能立馬進攻！

隨著烏俄戰爭時間拉長，網路戰爭更是愈演愈烈！然而這次的網戰卻不是讓人頭痛的惡意攻擊，而是成為援助烏克蘭的正義化身。援兵不是不來，只是為了避免直接升級為第三次世界大戰來得慢些，而且是全球一起來。

三軍統帥未下令，烏克蘭已遭網軍攻擊

烏俄戰爭未開打前，烏克蘭已遭受俄羅斯網軍攻擊，國防部與銀行接連被癱瘓；今年初台達電被駭，遭勒索上億元事件攻佔各大科技媒體版面，此事仍記憶猶新，而造成這股混亂的元兇－Conti勒索軟體組織，在烏俄戰爭裡，一樣沒有缺席。該組織在烏俄關係最緊張時刻公開發表聲明，表示將加入俄羅斯網路戰線「全力支持」俄羅斯，接著著手反擊對俄羅斯發動網路攻擊的國家。

戰爭開打前，網路攻擊僅侷限在烏俄兩國；在戰爭開打後，網路世界更把戰場擴大至烏俄之外，所有援助烏克蘭的國家都被當成潛在攻擊目標，駭客試圖瞄準援救烏克蘭難民國家的歐洲政府人員，籍由攻擊以獲得烏克蘭難民後勤、物資等相關訊息。詳見Hackers Try to Target European Officials to Get Info on Ukrainian Refugees, Supplies

面對網路威脅烏克蘭人全力反擊

同為戰鬥民族的烏克蘭，保家衛國當仁不然，每個人都使出全力在各方面對抗俄羅斯的入侵！烏克蘭網路安全專家Yegor Aushev為了保護烏克蘭免於網路入侵，號昭國內網路高手組成駭客小組，並發動攻擊任務破壞俄國軍事行動，其目的就是阻止俄軍運送武器或軍隊；白俄羅斯駭客組織Cyber Partisans知道Yegor Aushev號招行動後，立即響應並自願發起攻擊白俄鐵路公司行動，籍以阻斷運送俄國軍隊的運輸之道，詳見烏克蘭駭客組織攻擊俄國基礎設施 助烏軍抓臥底

面對種種入入侵，現任烏克蘭副總理兼數位轉型部長Mykhailo Fedorov，2月底也在twitter開始號召數位好手組成IT軍隊，為的是捍衛烏克蘭網路前線免於俄羅斯的惡意攻擊。

本篇為上一篇【IT趨勢】WEF-2022年全球風險報告－網路依賴與網路漏洞（Cyber Vulnerabilities）帶來的風險（上）的延續，建議可先讀過上一篇再繼續往下讀哦！

5.網路安全風險位居世界前五名；資安人才缺口超過三百萬

世界經濟論壇85%的網路安全領導社群強調，勒索軟體正在成為公共安全最危險且最大的威脅。網路安全失敗(cybersecurity failure)在東亞、太平洋及歐洲被列為前五大風險，而澳洲，大不列顛、愛爾蘭及紐西蘭將之列為排行第一的風險。很多高度數位化的小型經濟體，例如丹麥、以色列、日本、台灣、新加坡及阿拉伯聯合酋長國也將路安全失敗(cybersecurity failure)列在前五大風險中。

在險峻的環境下，已經抓襟見肘的的資訊及網路安全專業人員承受著越來越大的負擔，不只是遠端工作需求擴張，還包含不斷增加的複雜資料及隱私規範，雖然這些規範是確保對數位系統信任的關鍵，但有誰能真正提供網路安全領導意見、確切保護系統並訓練數位安全人才呢？沒有人有答案，但目前已知全世界網路專家的缺口已超過三百萬，網路安全人才持續缺乏最終將阻礙經濟成長。

6.虛實世界都躲不過網路安全威脅

有人擔心強大的量子計算可能強到足以破解加密密鑰，並帶來重大的安全風險，因為這些密鑰保護著財務、個人和其他敏感數據的重要性。這樣的擔憂情有可原。

虛擬世界的出現，還可能會增加更多惡意軟體和資料外洩的入口點，進而擴大惡意行為者的攻擊。隨著虛擬世界數位經濟價值的範圍和規模不斷擴大，預估到2024年將超過8,000億美元，但也別忽略，隨之而來的攻擊頻率及侵略性也將不斷增加。另外新興的NFT藝術收藏品及數位房地產等數位無形資產也可能引起進一步犯罪活動。關於NFT觀念，可參考【IT趨勢】NFT - 2022年持續撼動全世界的超級巨星(1)篇內容。

政府嘗試預防網路安全失敗，執法機制可透過司法管轄區繼續阻止或控制網路犯罪，然而地緣政治(Geopolitical)裂痕卻阻礙潛在的跨境合作，且部份國家的政府不願意或無法監管自家境內會影響境外的網路入侵行動。受訪者表示，圍繞數位主權的地緣政治造成的緊張局勢，目前採用“跨境網路攻擊和假資訊”以及“人工智慧”，至少是“已確立”或“有效”的國際風險緩解措施。各國間的政治暗流／地緣政治緊張局勢可能會影響跨境的資料流動，一般企業也必需在新的規範轉移前採取些措施，例如可能得把資料轉移到司法管轄區，以在資料隱私議題下對客戶提供更好地保護。

最近俄羅斯與烏克蘭戰事消息佔據各大媒體版面，兩國戰事尚未開戰前媒體就有諸多預測，網路也有很多風聲。當各地仍處於揣測戰爭是否發動時，兩國已在網路世界展開大規模且沒有煙哨味的攻防。相關新聞可參考三軍未發網軍先行，烏克蘭國防部及銀行網站被癱瘓。網路為世界帶來新戰場，不受時間與地域限制，隨時都可以開戰。本篇延續WEF-2022年全球風險報告《重點摘要》僅10%人相信世界經濟加速復甦篇，深入於探討網路安全如何被列入全球前五大風險中。

Digital distress(數位焦慮，數位化似乎帶來了焦慮)

延續2020年勒索軟體數量增加435%；全球有三百萬個網路專家的缺口；2024年數位商機預計將成長至800億美元；95%的網路安全問題來自人為錯誤。政府、社會及公司愈來愈依賴科技管理所有事，從公共服務到商業流程、甚至每天的雜貨購物。融合科技平台、透過工具及接口互聯網正在迅速位移到去中心化的V3.0。V3.0雖然美好，但緊接而來的是更多的複雜網路威脅及不斷成長的嚴重問題。當社會持續轉移至數位世界，網路犯罪威脅日益猖獗，這會讓組織付出數十甚至數百萬的代價，這代價不僅是財務性質的，還包含了關鍵基礎設施、社會凝聚力、還有心理健康等，而且是持續性的付出。

Digital everything萬物皆被數位化

過去20年來對數位系統的依賴，對社會功能產生了巨大的變化！COVID-19加速遠端工作設備及平台的採用，並允許敏感資料透過第三方元件分享，包含雲服務供應商(Cloud services providers)、資料聚合器(data aggregators)、應用程式接口(APIs)其它的中介相關技術。這些系統儘管是強大的資料及處理工具，但同時也更強化對服務應商的依賴性。遠端工作也讓數位化由辦公室網路轉換至居家網路，這表示將有更多缺乏網路入侵保護的設備被拿來連線。基於使用多種科技同時工作的渴望－包含AI、IoT、機器人物聯網設備(Internet of Robotic Things-enabled devices)、邊緣計算(edge computing)、區塊鍊、5G等都在成長。雖然這些科技能力為商業及社會大幅改善效率、品質及生產力，但同時也讓使用者面臨曝露在更多且傷害更大的數位網路風險。

未來，當社會擁抱下一個以區塊鍊科技發展的網路時，數位工具的互聯性及一致性將持續增加。其中一種轉變就是元宇宙：一個3D的網路虛擬空間，由加密貨幣（cryptocurrencies）及非同質化代幣（NFTs）支持前所未有的社會經濟與身歷其境的虛擬環境真實體驗。使用者需要解決日益增長的安全漏洞，不論是在這些複雜的科技上與日俱增的依賴性或碎片化狀況，通常都有去中心化特色及缺乏結構化護欄或入門很複雜的基礎設施。

躲在數位化下的魔鬼－網路漏洞（Cyber vulnerabilities）

1.攻應鏈漏洞掀起的網路安全連鎖效應

關於網路實體系統安全的關鍵基礎設施，不管是由OT/IT匯集而來的或是因應數位轉型而設立的新環境，其安全疑慮是不斷增加的！下面的預測將幫助安全及風險管理領導者預測即將到來的風險及機會。

關於網路實體系統安全(CPS)的重點現象

報告在研究網路實體安全議題時，有幾個重點發現要提供給安全及風險管理領導者例如 CIOs, CISOs, CSOs, CTOs and COOs：

🔹近年組織內對關鍵基礎區域的攻擊已大量增加，從2013年的10起到2020的400筆，有將近有3,900%的成長。
🔹透過破壞實際流程來攻擊流程完整性，可造成致命影響，尤其當工廠操作員忽略發現的改變時。
🔹世界各國政府現在都明白他們的國家關鍵基礎多年來來已成為不為人知的戰場。他們對關鍵任務的網路實體系統(Cyber-Physical Systems ,以下簡稱CPS)強化更多的安全管制，同時在強化國家安全上投入更多努力，以因應對關鍵基礎的攻擊。
🔹傳統以網路為中心，單點部署在關鍵基礎設施營運的安全工具，已不再適用於快速及複雜的的新興威脅環境。

安全策略規劃假設

資訊安全這些年來不乏攻擊事件，大大小小的事不斷重創我們仰賴的網路事界，過去不少大型攻擊事件重創企業，可參考【這些年各大資安事件帶來的Lessons Learned】。

環境驟變迫使科技前進，資安已不再是我們熟悉的樣子。在未來世界，網路可擴及的範圍已不僅限於大型企業體，網路已漸漸滲透到我們可以想像的任何地方，例如生活中萬物聯網、自動駕駛、數位分身(Digital Twins)等，這些都與我們生活大小事習習相關。若這些環境發生攻擊事件，其引發的後果將不堪設想，因此資安攻擊也逐漸引起各國高度關注／　隱私法、勒索軟體攻擊、網路實體系統和企業內董事會層級的審查等焦點事物，正在提高安全處理的優先度並推動風險領導者前進。

孫子在《形篇》中說：「故善戰者，立於不敗之地，而不失敵之敗也。是故，勝兵先勝而後求戰，敗兵先戰而後求勝。」成功永遠都屬於有準備的人，Gartner整理出2021-2022 八個網路安全預測，便可做為未來網路安全準備的參考。匯整摘要說明如下:

1. 到2023年底，現代隱私法將保護全世界75%的個人資料

GDPR是第一個為消費者隱私立下的法案，這法案之後也快速被其它國家跟進，包含巴西資料保護法(Brazil’s General Personal Data Protection Law ,LGPD)、加洲消費者隱私保護法(California Consumer Privacy Act ,CCPA)。這些法律表明，你將被不同司法區域的不同法律管理，客戶需要知道你收集了什麼資料及收集後的用途。這表示你將需專注於自動化自家的隱私管理系統。以GDPR做為標準化的安全運作基礎，並依此為個別司法區域的法律做調整。

2. 到2024年，組織採用網路安全架構(Cyber security mesh architecture)平均將減少90%因財務而影響的資安事件。

2022年世界經濟論壇發佈的全球風險報告(The Global Risk Report 2022)特別突顯社會及環境兩大問題，過去常見在風險排行榜上的科技類別，2021年開始因COVID-19的關係，網路安全失效(Cybersecurity failures)取代網路攻擊(Cyberattack)，已成前科技類最大風險。目前僅有10%的人相信世界將快速復甦，16% 的人對世界未來前景感到積極樂觀。

過去我會研究世界經濟論壇報告，主要是因為科技類風險經常上榜， 2017年至2019期間，網路攻擊(Cyberattack)與資料詐騙更連續被列為全球5大風險，然而2021年開始一切都開始改變。延續2021年報告中存在的潛在連鎖經濟風險，包含供應鏈中斷、通貨膨脹、全球債務、勞動力市場缺口、保護主義和教育差距等，正在推動世界經濟進入更艱難的水域，每個國家都需要恢復社會凝聚力來促進就業和繁榮。

讀2022年這份報告格外擔憂，因為除了我關注的科技風險之外，更多是與我們生活環境習習相關的問題。因此這一篇將以綜論的觀點性來撰寫，下一篇才會將重點放在科技內容。

2021-2022 年全球風險認知調查的5個結果

各國現階段面臨的困難不盡相同，透過調查方式搜集全球面臨的現況，以及對未來不同時間點面對風險的看法，匯整出5項結果並摘要如下：

黃明志在NFT平台賣歌3小時賺進台幣2500萬；

Pak的NFT實驗作品「Merge」銷售額高達台幣25.6億；

居然有東西可以賣得比莫內真跡還貴，去年底到處都在講NFT，到底2021年最夯的NFT是什麼？為什麼能有這麼高的價值？

什麼是NFT

NFT, 非同質化代幣（Non-fungible token，簡稱「NFTs」），是一種儲存在區塊鏈上的資料單位，是一種加密代幣，與比特幣這種加密貨幣不同的是它無法互相交換，但可以用加密貨幣購買或轉售，也就是說可以用比特幣來購買NFT。

現行網路上的任何資料存在修圖版、復刻版、翻拍版，我們永遠都無法哪一個為最原始版本，然而NFT卻有辦法做到辨識原始版本與不同版本間的不同。NFT俱有不可分割、不可替代、可用於驗證所有權真偽的特性，因此這樣的特性讓NFT成為虛擬世界想擁有資產買家的第一首選，也變成藝術創作者數位化藝術品的選擇，未來還可能成為進入元宇宙的入門票，將NFT應用在元宇宙所需要的商品上。

讓科技巨頭爭吵不休的網路環境基礎－Web 3.0

Web3.0是未來去中心化網路世界的基礎，而NFT便是Web3.0最俱代表性的應用。上個月底為了Web3.0，兩大科技巨頭－前Twitter聯合創辦人Jack Dorsey與科技業創投Marc Andreessen在網路上爭吵不休，最後Andreessen還氣到直接封鎖Dorsey，讓a16z直接發起封鎖Dorsey的行動，他們到底在吵什麼？吵得如此驚天動地，吵得全世界都知道。首先我們得由正在使用中的Web2.0開始說起。

早上在Podcast聽【聽天下】的最新單集－行銷5.0時代來了！內容講述的是被疫情顛覆生活的世界，數位轉型發揮極大的效用，甚至加速各行業數位轉型的腳步。沒錯！!數位轉型帶來的便利性我個人非常有感！生活突然多出很多時間可以做其它的事（例如看更多資安資訊）！我想還有另一個族群跟我一樣開心－那就是駭客組織！網路連起全世界，戰場除了擴大之外也變得很多元，所以攻擊技術除了日新月異外還愈來愈創意。

Image Source: CISOMAG

創意的駭客攻擊手法

惡名招彰界享譽盛名的Magecart Group，在竊取信用卡資料手法上可是頂港有名聲、下港尚出名的！最近不小心被媒體爆出來的技術是透過編碼方式，將截取到的信用卡個資轉儲存到伺服器上的圖文檔案，目地是規避安全檢測後，進而成功把掠奪到的資料於黑市中上架出售。簡單來說，就是為了掩飾放在PHP File中的惡意程式，便採用與程式註解串聯在一起的方式來混淆視聽增加檢測的難度。駭客在open source中直接植入惡意程式是總有所聞，但採用混淆視聽方式倒是第一次聽到，正所謂道高一尺魔高一丈，我認為很有創意，如果這是老舊手法的話也歡迎大家回饋我囉！連結為詳細的新聞內容。

老引誘手法 + 新惡意軟體技術＝成功達標

最近有個新的惡意軟體BIOPASS malware專門鎖定中國線上賭博網站，採用水坑式攻擊(Water hole)這種阿公級的手法找到淺在可感染用戶，進而引誘用戶下載最近才剛被揭露並活躍於中國市場的惡意程式－BIOPASS malware。

我想開發這個惡意程式的團隊應是年輕且採用敏捷式開發的Start-up公司，因為它非常注重用戶體驗，所有中國知名的瀏覽器都能下載這個惡意軟體，包含QQ瀏覽器、2345瀏覽器、搜狗Sogou、360安全瀏覽器、WeChat、阿里旺旺等，不論您是哪種瀏覽器的鐵粉都一定能順利下載，相容性極佳！

COVID-19流行期間，許多組織為了保護員工及客戶做了很多的調整，但同時也大大提高曝露在網路威脅中的風險。例如大規範採用在家工作（work-from-home)技術、愈來愈多用戶端的網路活動、快速掘起的線上服務，這些隨之而起的改變，都是提供網路攻擊者可以快速利用的新機會。

因應COVID-19的措施，為什麼會提高網路資安風險?

🔺工作環境改變：

員工在家工作（或無法離家的居家隔離員工），已為網路攻擊打開多扇大門，例如同仁在沒有使用VPN的狀況下傳輸不安全的資料、無法降密的高風險行為、工作壓力迫使員工繞過資訊管理政策來完成工作等。資安團隊在此同時, 需測試並擴展VPNs與事件回應工具以維持一個安全的工作環境。此外，也應重新檢示存取政策，讓員工可透過個人設備或開放通道來連結關鍵基礎設施。

🔺網路攻擊量增加：

社交工程策略正在成長，在這次的攻擊機會中，攻擊者會嘗試取得重要資訊，或透過詐騙合法帳號使用者來存取被保護的系統。多數公司已收到類似的釣魚郵件，例如藉由健康、救助或慈善組織的身份，寄來名為活動實則含有惡意軟體的郵件。詐騙者會冒充服務團隊（help-desk team)透過電話或郵件，來取得員工的安全憑證。郵件詐欺也會嘗試讓高層轉移資金給供應商，運營及病毒相關的響應活動。

🔺惡意程式散播：

什麼是AIOps

根據Gartner定義，AIOps(Artificial Intelligence for IT Operations)是結合了大數據(Big Data)和機器學習(Machine Learning)功能，透過廣泛擷取並分析大量、多樣化且不斷成長的IT資料量，透過自動化持續運作的方式以增強各種IT運營流程和任務，包括性能分析、異常檢測、事件關聯和分析、IT服務管理和自動化，以更有效率的方式支持主要IT運營功能，主要功能包含:

🅐整合多樣化來源的資料

需將平常來自應用效能、外網監控、系統工作日誌、系統安全等觀察數據、參與資料(例如事故單ticket)、事件記錄(event log)、大數據資料庫中的資料進行匯總，針對合併後的IT資料部署機器學習技術，做為AIOps平台利用人工智慧和機器學習演算法進行深入資料分析前的準備。

🅑包含完整的服務

AIOps服務包括可用性和性能監控(Monitoring)、事件關聯分析、IT服務管理(ITSM)和自動化(Automation)。 這些服務需透過同時截取多個資料來源進行探索，並即時預測可能發生的事件及產生的新使用狀況，同時回顧歷史資料，確認導致當前系統行為的主要原因，最終以有用的方式進行分析與呈現。

🅒持續性的自動化

時間過得很快，時序又來到2021年底，對於即將到來的2022年有什麼樣的科技趨勢？Gartner預測在未來3-5年裡，將有12項科技趨勢將成為數位商業(Digital business)與創新(innovation)發展的推手！這些科技主要目的是幫助CEO將CIO及技術高層定位為組織中的策略夥伴，為組織實現成長、效率及數位化。而這12項科技將帶來什麼樣的價值與成果？12項科技又包含哪些？接下來將快速摘要給您！

科技趨勢如何趨動數位商業(Digital business)及帶來什麼樣的成果？

1.工程信任(Engineering Trust)：

數位商業需要一個彈性及有效率的IT基礎做為核心。沒有良好的設計基礎，就沒有辦法以經濟化方式進行高效拓展。IT負責設計可信任的環境，技術上需確保在跨雲及非雲環境，能更安全地整合並處理資料，同時創建彈性及有效率並兼俱成本效益的IT基礎環境供組織進行拓展。詳細科技趨勢將在下個章節的前4個趨勢中說明。

2.塑造變革(Sculpting Change)：

有了可信賴的基礎，下一個重點是使組織能夠擴展俱規模的數位商業。但IT 無法獨自跟上變化的步伐，因此將IT 和業務人員融合成隊團，共同合作並推動創新才能快速實現商業數位化。
 
IT 在這個階段的工作是提供團隊適合的工具，以發布該領域創新技術解決方案為主，來協助擴展和加速組織的數位化，讓業務人員能為迎戰做準備。其方法包含透過快速創建應用程序來自動化業務活動、優化人工智慧 (AI) 並實現更快更明智的決策，以迎接不斷加快的變化步伐。詳細科技趨勢將在下個章節的前5-8個趨勢中說明

3. 加速增長(Accelerating Growth)：

當基礎構建完成時，接下來就是專注在科技趨勢為組織創造最大化價值的時候。這些科技會讓組織更是贏得業務及市場佔率。詳細科技趨勢將在下個章節的9-12趨勢中說明。

科技發展的快速及多元性，

讓Gartner一開始便提出，
未來策略科技趨勢將同時擁有創造機會與趨動破壞兩種潛力，
領導者必需評估這些重要趨勢以決定如何結合這些趨勢來推動他們的創新策略。

一分鐘摘要：2020年策略科技趨勢要發展什麼？