主宰2018年的五大信息安全威脅

Thor+Olavsrud著+Charles譯

如果您認(rèn)為2017年是數(shù)據(jù)泄露事件形勢(shì)非常嚴(yán)峻的一年，那不妨等到2018年再說(shuō)。信息安全論壇（ISF）是一家專注于網(wǎng)絡(luò)安全和信息風(fēng)險(xiǎn)管理的全球性獨(dú)立信息安全機(jī)構(gòu)，它預(yù)測(cè)2018年數(shù)據(jù)泄露事件的數(shù)量和影響都會(huì)大增，這在很大程度要?dú)w咎于企業(yè)將要面臨的五個(gè)重大的全球性安全威脅。

ISF總經(jīng)理Steve Durbin說(shuō)：“信息安全威脅的范圍之廣，擴(kuò)展之快，正在危及當(dāng)今最可信任企業(yè)的誠(chéng)信和聲譽(yù)。2018年，我們將看到威脅情形變得更加復(fù)雜，威脅活動(dòng)將瞄準(zhǔn)目標(biāo)的弱點(diǎn)進(jìn)行個(gè)性化攻擊，目標(biāo)如果已經(jīng)部署了防御措施，威脅會(huì)自我變形進(jìn)行攻擊。目前的風(fēng)險(xiǎn)比以往任何時(shí)候都要高?！?/p>

Durbin指出，隨著數(shù)據(jù)泄露事件數(shù)量的增長(zhǎng)，被攻破的記錄會(huì)越來(lái)越多。正因?yàn)槿绱耍?018年對(duì)于各種規(guī)模的企業(yè)來(lái)講，面對(duì)攻擊所付出的成本要高很多。Durbin說(shuō)，網(wǎng)絡(luò)清理和客戶通知等傳統(tǒng)領(lǐng)域能夠抵消其中一些成本，但威脅造成的新領(lǐng)域?qū)a(chǎn)生額外的成本，例如，涉及多方參與的法律訴訟問(wèn)題等。ISF預(yù)測(cè)，憤怒的客戶會(huì)強(qiáng)烈要求政府制定更嚴(yán)格的數(shù)據(jù)保護(hù)立法，這也會(huì)隨之帶來(lái)更多的成本。

據(jù)ISF，推動(dòng)這一趨勢(shì)的是2018年企業(yè)將面臨的以下五個(gè)重大的全球性安全威脅因素：

犯罪即服務(wù)（CaaS）將導(dǎo)致有越來(lái)越多的工具和服務(wù)

物聯(lián)網(wǎng)（IoT）會(huì)進(jìn)一步帶來(lái)難以管理的風(fēng)險(xiǎn)

供應(yīng)鏈仍然是風(fēng)險(xiǎn)管理中最薄弱的環(huán)節(jié)

監(jiān)管使得關(guān)鍵資產(chǎn)的管理越來(lái)越復(fù)雜

重大事件將暴露出未能達(dá)到董事會(huì)的預(yù)期

犯罪即服務(wù)

去年，ISF預(yù)測(cè)CaaS會(huì)有質(zhì)的飛躍，犯罪集團(tuán)會(huì)模仿大型私營(yíng)企業(yè)的各個(gè)部門，發(fā)展出復(fù)雜的層次結(jié)構(gòu)，甚至有伙伴和協(xié)作關(guān)系。

Durbin指出，事實(shí)證明這一預(yù)測(cè)是有先見(jiàn)之明的，因?yàn)樵?017年，“網(wǎng)絡(luò)犯罪事件大幅度增加，尤其是犯罪即服務(wù)?！盜SF預(yù)測(cè)這在2018年會(huì)繼續(xù)下去，犯罪組織將進(jìn)一步以各種方式開拓新市場(chǎng)領(lǐng)域，并在全球范圍內(nèi)將其犯罪活動(dòng)商品化。ISF說(shuō)，一些犯罪組織將扎根于現(xiàn)有的犯罪結(jié)構(gòu)，而另一些組織則只專注于網(wǎng)絡(luò)犯罪。

最大的區(qū)別是什么？Durbin說(shuō)，2018年，那些沒(méi)有多少技術(shù)知識(shí)但卻“野心勃勃的網(wǎng)絡(luò)罪犯分子”會(huì)利用CaaS，通過(guò)購(gòu)買工具和服務(wù)便能發(fā)起原本無(wú)從下手的攻擊。

他補(bǔ)充說(shuō)：“網(wǎng)絡(luò)犯罪不僅僅是針對(duì)那些大‘蜜罐：知識(shí)產(chǎn)權(quán)和大銀行?！?/p>

以目前最流行的一類惡意軟件加密勒索軟件（Cryptoware）為例。過(guò)去，網(wǎng)絡(luò)罪犯分子使用的勒索軟件依賴于一種不正當(dāng)?shù)男湃涡问剑核麄冩i定受害者的計(jì)算機(jī)，受害者付過(guò)贖金后，犯罪分子才會(huì)解鎖計(jì)算機(jī)。但Durbin說(shuō)，那些野心勃勃的網(wǎng)絡(luò)罪犯分子進(jìn)入這一領(lǐng)域后，這種所謂的“信任”也被打破了。受害者即使支付了贖金也可能無(wú)法得到解鎖他們計(jì)算機(jī)的密鑰，而網(wǎng)絡(luò)犯罪分子會(huì)一次又一次地卷土重來(lái)。

Durbin指出，與此同時(shí)，網(wǎng)絡(luò)犯罪分子在利用社交工程學(xué)方面變得越來(lái)越老練。雖然其目標(biāo)通常是指向個(gè)人而不是企業(yè)，但這種攻擊仍然對(duì)企業(yè)構(gòu)成了威脅。

他說(shuō)：“在我看來(lái)，企業(yè)和個(gè)人之間的界限越來(lái)越模糊。攻擊活動(dòng)也會(huì)把個(gè)人當(dāng)成企業(yè)來(lái)對(duì)待”。

物聯(lián)網(wǎng)

企業(yè)大量的采用了物聯(lián)網(wǎng)設(shè)備，但很多物聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)時(shí)并沒(méi)有考慮安全因素。此外，ISF警告說(shuō)，快速發(fā)展的物聯(lián)網(wǎng)生態(tài)支持系統(tǒng)會(huì)越來(lái)越缺乏透明度，模糊的條款和條件允許企業(yè)以客戶不愿意接受的方式使用個(gè)人數(shù)據(jù)。在企業(yè)方面，問(wèn)題在于——企業(yè)想知道哪些信息正在離開他們的網(wǎng)絡(luò)，或者哪些數(shù)據(jù)被智能手機(jī)和智能電視等設(shè)備偷偷地采集并傳送出去。

當(dāng)確實(shí)發(fā)生了數(shù)據(jù)泄露事件，或者透明度違規(guī)行為被披露出來(lái)，那么企業(yè)很可能會(huì)被監(jiān)管機(jī)構(gòu)和客戶追究責(zé)任。而在最壞的情況下，嵌入在工業(yè)控制系統(tǒng)中的物聯(lián)網(wǎng)設(shè)備在安全上被攻破后，可能會(huì)導(dǎo)致人身傷害和死亡事件。

Durbin說(shuō)：“從制造商的角度來(lái)看，清楚的了解使用模式是什么，更好地掌握個(gè)人行為是非常重要的。但所有這些都會(huì)帶來(lái)比以前更多的威脅攻擊途徑?！?/p>

Durbin補(bǔ)充說(shuō)：“我們應(yīng)該怎樣保證它們的安全，是我們?cè)诳刂圃O(shè)備，而不是設(shè)備被他人控制？我們將看到這方面的意識(shí)會(huì)越來(lái)越強(qiáng)。”

供應(yīng)鏈

ISF多年來(lái)一直在強(qiáng)調(diào)供應(yīng)鏈的脆弱性問(wèn)題。正如企業(yè)所指出的那樣，供應(yīng)商往往會(huì)與企業(yè)共享一系列有價(jià)值的敏感信息。當(dāng)這些信息被共享時(shí)，就會(huì)喪失了直接控制權(quán)。這意味著信息的保密性、完整性和可用性會(huì)面臨更大的風(fēng)險(xiǎn)。

Durbin說(shuō)：“去年，我們看到，大型制造業(yè)企業(yè)因?yàn)楸还翩i定，供應(yīng)鏈?zhǔn)艿接绊懚鴮?dǎo)致停產(chǎn)?！?/p>

他補(bǔ)充說(shuō)：“您處在哪個(gè)行業(yè)并不重要。畢竟，我們都有供應(yīng)鏈。我們面臨的挑戰(zhàn)是，在生命周期的每個(gè)階段，我們?cè)鯓硬拍苷嬲闹牢覀兊男畔⒕烤乖谀睦?？這些信息被共享時(shí)，我們又該怎樣保護(hù)其完整性？”

ISF說(shuō)，2018年，企業(yè)應(yīng)關(guān)注供應(yīng)鏈中最薄弱的環(huán)節(jié)。雖然并非所有的安全攻擊事件都能提前阻止，但您和您的供應(yīng)商應(yīng)積極主動(dòng)的做好預(yù)防工作。Durbin建議采用強(qiáng)大的、可擴(kuò)展的和可重復(fù)的流程，以保證當(dāng)面臨的風(fēng)險(xiǎn)增加時(shí)，防御措施也隨之增強(qiáng)。企業(yè)必須在現(xiàn)有的采購(gòu)和供應(yīng)商管理流程中嵌入供應(yīng)鏈信息風(fēng)險(xiǎn)管理功能。

監(jiān)管

監(jiān)管讓情形更加復(fù)雜，全面的歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）將在2018年初實(shí)施，這又讓關(guān)鍵資產(chǎn)管理變得更加復(fù)雜。

Durbin說(shuō)：“當(dāng)我與世界上任何地方、任何個(gè)人對(duì)話時(shí)，都無(wú)不提及GDPR。這不僅僅是合規(guī)問(wèn)題。而且還涉及到您能夠隨時(shí)找到企業(yè)和供應(yīng)鏈上任何一點(diǎn)的個(gè)人數(shù)據(jù)，知道怎樣管理和保護(hù)這些數(shù)據(jù)。您必須能夠隨時(shí)從個(gè)人角度出發(fā)——而非監(jiān)管方，去證明這些。”

他補(bǔ)充說(shuō)：“如果我們真的想要正確地實(shí)施這些，我們將不得不改變我們開展業(yè)務(wù)的方式。”

ISF指出，為承擔(dān)GDPR責(zé)任而需要的額外資源可能會(huì)增加合規(guī)和數(shù)據(jù)管理成本，而且還不得不從其他活動(dòng)中分出精力，撤出投資，轉(zhuǎn)而集中到這方面的工作中。

未能達(dá)到董事會(huì)的期望

據(jù)ISF，2018年的另一威脅是，信息安全職能部門實(shí)現(xiàn)的實(shí)際結(jié)果達(dá)不到董事會(huì)的期望。

Durbin解釋說(shuō)：“照理來(lái)說(shuō)，董事會(huì)的確會(huì)明白的。他們明白業(yè)務(wù)是在網(wǎng)絡(luò)空間中運(yùn)行的。但在很多情況下，他們并不知道問(wèn)題的全部含義。他們認(rèn)為一切盡在首席信息安全官的掌控之中。事實(shí)上，董事會(huì)的問(wèn)題仍然不能切中要害。首席信息安全官們也不知道怎樣針對(duì)問(wèn)題與董事會(huì)或者業(yè)務(wù)部門進(jìn)行協(xié)商?！?/p>

ISF指出，董事會(huì)希望他們?cè)谶^(guò)去幾年里批準(zhǔn)增加的信息安全預(yù)算能夠使首席信息安全官和信息安全職能部門立即取得成果。但百分之百安全的企業(yè)其實(shí)是一個(gè)遙不可及的目標(biāo)。即使他們明白了這一點(diǎn)，許多董事們也不知道，即便企業(yè)擁有正確的技能和能力，對(duì)信息安全做出實(shí)質(zhì)性的改進(jìn)也需要時(shí)間。

這種不一致意味著，當(dāng)發(fā)生重大事件時(shí)，不僅僅是企業(yè)感受到了影響；董事會(huì)成員的個(gè)人和集體聲譽(yù)都會(huì)受到嚴(yán)重影響。

Durbin說(shuō)，正因?yàn)槿绱?，首席信息安全官的角色必須要轉(zhuǎn)變。

他說(shuō)：“首席信息安全官現(xiàn)在的角色不是要保證防火墻矗立不倒，而是能做出預(yù)測(cè)。必須能預(yù)測(cè)今后的威脅挑戰(zhàn)將怎樣影響企業(yè)，并向董事會(huì)解釋清楚。一名優(yōu)秀的首席信息安全官也應(yīng)該是推銷員和顧問(wèn)。當(dāng)然也不必兩者兼顧。我可以成為世界上最好的顧問(wèn)，但如果我不能把我的想法推銷給對(duì)方，讓對(duì)方接受，那在董事會(huì)里也不會(huì)有任何進(jìn)展。”endprint