新思預測2019年軟體安全趨勢

IT時報記者 郝俊慧

剛剛過去的2018年，雲計算、人工智能（AI）、機器學習（ML）、物聯網（IoT）和大數據獲得了極大進展，但同時也出現了一系列與安全有關的事件：萬豪酒店數億數據洩露、英特爾處理器的“Meltdown”（熔斷）和“Spectre” （幽靈）漏洞、台積電因新機床被“感染”導致蘋果生產線停產……隨著雲計算、人工智能（AI）、機器學習（ML）、物聯網（IoT）和大數據等技術的進一步演進，相關的安全隱患也越來越多。

近日，新思科技發布了對2019年軟體安全行業的預測，軟體品質與安全部門高級安全架構師楊國梁表示，這些新技術其實也都是軟體驅動的，其中不少軟體仍然是在沒有正式標準和流程的情況下編寫，軟體設計和標準的安全性亟待規範。

更多特定領域的安全標準將出現

“開源已經持續了很長時間，預計2019年，更多的信任將放在基於開源軟體的通用構建模塊中，而垂直領域軟體開發標準將更快出現。”楊國梁分析，金融服務、區塊鏈以及移動解決方案安全性等領域，或可能出現由垂直市場組成的聯盟，以建立更多面向特定領域的安全標準，並改善信任和互換性，其中大部分可以基於開源組件構建。

此外，隨著經濟的增長，各大企業也面臨著新的競爭壓力，新的雲環境正在改變企業部署App的方式，因此，企業需要在App應用和軟體安全方面保持警惕，預計將會有更多投資放在雲端安全上，給員工普及應用安全和軟體安全的概念以及這方面的培訓需求也會越來越多。

AI和ML將為網絡安全做更多

AI（人工智能）和ML（機器學習）對人們生活的滲透越來越廣，在軟體安全和網絡安全方面，兩者的表現很讓人期待。

楊國梁分析，網絡安全很重要的一部分是數據關聯和分析，這需要具備基於多個不同的數據源(猶如海底撈針)來查找單個威脅和威脅活動以及執行威脅行動者歸因的能力。

AI/ML可以通過數據建模和模式識別來提高以上過程的速度、規模和準確性。但從目前來看，對於這種模型的準確性還沒得到權威性認證，需要開發人員將更多時間和投入完善數據模型和模式識別，以確保AI/ML技術能夠有效提升軟體安全。

楊國梁認為，實現AI/ML的真正願景，可能還需要幾年的時間。

IoT攻擊仍然是一個困擾

在亞太地區，許多國家正在推進智慧城市和智能國家計劃。這也為新一輪的IoT網絡攻擊提供了機會。新思科技認為，不法分子可以利用數據中毒進行攻擊，其中的錯誤資訊將通過部署在目標城市或全國範圍內的傳感器影響決策。此外，醫療、零售、酒店等行業正成為黑客攻擊的重要領域，因為這些行業收集的數據價值正在增加。