全球最大的安全意識培訓與網絡釣魚模擬廠商KnowBe4近期發布了2021年網絡安全趨勢預測報告。

　　該公司的網絡安全專家來自世界各地，此次共同就網絡釣魚攻擊、勒索軟件、賬號安全威脅、安全意識培訓等趨勢性議題做出預測。

　　他們的預測整體結合了當前特殊時期下的社會新趨勢。例如，由新冠疫情引發的一系列影響，導致黑客利用漏洞、發動攻擊的可能性不斷上升。專家們還提醒人們關注技術進步，表示技術發展的同時也將不可避免地帶來新的惡意威脅。云服務、二維碼識別、移動銀行等新興事物背后都有可能潛藏危機。

　　KnowBe4此次預測報告中的要點包括：

　　遠程辦公安全：

　　新冠病毒正迫使各類組織轉向遠程辦公新機制。未來一年，針對遠程辦公人群的安全保障投資將有所增加。組織機構需要自下而上審查哪些安全控制有效、哪些無效，而且這項工作的難度恐怕超過大多數人的想象。未來可能會出現效果更好、效率更高的溝通、培訓與安全工具。“KnowBe4首席攻防官Kevin Mitnick指出，”精心設計的供應鏈攻擊將把矛頭指向居家辦公的員工。例如，「電信運營商」向目標發送一款所謂「最新款、速度更快的路由器」，但其中卻埋藏有后門。

　　移動銀行攻擊：

　　針對移動銀行的木馬及惡意應用有所增加，特別是非洲地區的移動用戶缺乏安全認知，急需新的解決方案來保護移動銀行和在個人移動設備上進行金融交易的用戶的網絡安全。

　　網絡安全意識培訓：

　　關于網絡安全意識培訓的話題仍在繼續推進。對于這一重點領域，去年的預測報告還無法做出深入探討，因為我們尚未看到企業將網絡安全培訓、行為及報告等指標納入KPI。但自《澳大利亞網絡安全戰略2020》發布之后，我堅信相關對話將逐步普及，這也將令安全意識培訓成為一種迫在眉睫的需求。“

　　勒索軟件：

　　勒索軟件攻擊將持續惡化，攻擊者利用竊取到的數據與員工憑證逼迫受害組織付款。就目前來看，良好的備份與經過測試的恢復機制已經不足以防止勒索攻擊。

　　網絡犯罪分子會繼續上調贖金數額，而且要求受害者為了刪除攻擊者手中的備份而另付一筆錢。如果不支付贖金，犯罪分子可能創建一個類似于電子商店的平臺，面向全體公眾公開失竊的數據庫。

　　多因素驗證違規：

　　隨著多因素驗證機制的廣泛應用，人們逐漸意識到它并不能真正阻止黑客入侵。事實上，一旦黑客意識到用戶正在使用某種類型的多因素驗證方案，他們就會利用這種信任感繞過當前保護體系。

　　工業控制系統：

　　針對工業控制系統（ICS）的攻擊將繼續增加，以此入侵發電設施或破壞制造業企業的正常運營。網絡罪犯將不斷設計并嘗試對ICS系統發動各種攻擊，努力破壞國家/地區內的電網、水處理設施或者其它關鍵制造設施。

　　移動設備攻擊：

　　消費者會發現WhatsApp與短信欺詐活動有所增加。此外，網絡犯罪分子還會提出更高的贖金數額，并使用更狡猾、更精密的方法引導受害者支付贖金。

　　安全文化：

　　從2021年開始，安全文化術語與概念將在整個行業中得到全面普及。屆時，更深入的理解將幫助各類組織對于內部人為風險因素建立起清晰的認知，最終催生出更全面、更完整的安全規劃。

　　二維碼釣魚：

　　二維碼釣魚將成為一種常見且風險巨大的攻擊媒介。自從二維碼誕生以來，這種理論層面的威脅就一直存在。但在2020年，我們發現二維碼的全面普及開始真正轉化為風險。用戶已經習慣于使用智能手機上的攝像頭自動檢測并瀏覽嵌入到二維碼的網站。這將成為一種誘人且蘊藏巨大利益的威脅因素。

　　網絡釣魚：

　　隨著整個世界逐步回歸辦公室與傳統工作場所，網絡釣魚攻擊又將迎來一波新的浪潮。與當初轉為居家辦公類似，員工們渴望了解與重返辦公地點相關的消息。攻擊者無疑會利用這種對信息的渴望。到2021年，圍繞新冠疫苗出現的大規模魚叉式網絡釣魚攻擊，很可能創下有史以來最高的點擊率。

　　物聯網：

　　2021年還將出現與物聯網設備相關的多起重大安全事件。不同于以往利用物聯網設備發動DDoS攻擊的典型場景，這次的問題可能源自利用物聯網設備造成的重大破壞。