2018年需重視的5個信息安全威脅

譚軍

2017年對于數據泄露來說是可怕的一年，信息安全論壇（ISF）是一個專注于網絡安全和信息風險管理的全球性獨立信息安全機構，它預測2018年數據泄露的數量和影響會增大，這在很大程度上要歸咎于各個組織將在2018年面臨的五大全球性安全威脅。

ISF的總經理Steve Durbin說：“信息安全威脅的范圍之廣，速度之快，正在危害當今最可靠的組織的聲譽”。在2018年，我們將看到威脅情況日益復雜，威脅是針對其目標的薄弱環節進行個性化處理，或者是考慮到已經實施的防御措施而變形，目前的危害比以往任何時候都高。

根據ISF的報告，推動這一趨勢的是企業在2018年將要面臨的以下五大全球性安全威脅：

犯罪即服務（CaaS）將擴展現有的工具和服務；

物聯網（IoT）將進一步增加未經管理的風險；

供應鏈仍然是風險管理中最薄弱的環節；

監管將增加關鍵資產管理的復雜性；

未經滿足的董事會期望將會受到重大事件的影響。

犯罪即服務

2017年，ISF預測CaaS將會有一次飛躍，犯罪集團將進一步發展模仿大型私營部門組織的復雜層級，伙伴關系與合作。

Durban說，事實證明該預測是有先見之明的，因為2017年“網絡犯罪，特別是犯罪即服務”大幅增加。ISF預測，這一進程將在2018年繼續下去，犯罪組織將活動范圍擴大到新市場，并在全球范圍內將其活動商品化。ISF表示，有些組織將根植于現有的犯罪結構，而其它一些組織只關注網絡犯罪。

最大的區別是什么呢？在2018年，CaaS將使沒有太多技術知識的“野心勃勃的網絡犯罪分子”能購買工具和服務，使他們能夠進行本來無法進行的攻擊，Durbin這樣說道。

他補充說：“網絡犯罪不再僅僅是針對大型蜜罐———知識產權和大型銀行。”

以如今最流行的惡意軟件類別加密勒索軟件（cryptoware）為例。在過去，使用勒索軟件的網絡犯罪分子依賴于一種不正當的信任形式：他們會鎖定你的計算機，受害者會用金錢贖回它，而犯罪分子會解鎖計算機。但Durbin說，野心勃勃的網絡犯罪分子引進到這個領域意味著“信任”正在崩潰。即使是支付贖金的受害者可能也無法獲得解鎖財產的鑰匙，或者網絡犯罪分子可能會一次又一次地回來。

與此同時，Durbin說，網絡犯罪分子在使用社交工程方面正變得越來越老練。雖然他們的目標一般是個人而不是企業，但這種攻擊仍然對組織構成威脅。

他說：“對于我來說，企業與個人的界限越來越模糊。個人越來越像企業。”

物聯網

組織越來越多地采用物聯網設備，但是大多數物聯網設備在設計上并不安全。此外，ISF警告說，快速發展的物聯網生態系統將會越來越缺乏透明度，模糊的條款和條件允許組織以非客戶想要的方式使用個人數據。對于企業來說他們的問題是，組織想要知道哪些信息正在離開他們的網絡，或者哪些數據正在被智能手機和智能電視等設備偷偷地俘獲和傳輸。

如果發生數據泄露事件，或出現透明度違規，組織可能會被監管機構和客戶追究責任。在最壞的情況下，工業控制系統中嵌入物聯網設備的安全攻擊有可能會導致人身傷害和死亡。

Durbin說：“從制造商的角度來看，了解你的使用模式，更好地了解個人，顯然是非常重要的。但所有這些都衍生出比以前更多的威脅。我們如何確保它們的安全，以便我們掌握控制權，而不是讓設備被他人控制？我們希望看到更多這方面意識的提高。”

供應鏈

ISF多年來一直在提供應鏈脆弱性的問題。正如該機構所指出的那樣，供應商往往會與組織分享一系列有價值的敏感信息。當這些信息被共享時，直接控制權就會丟失。這意味著危及信息機密性、完整性或可用性的風險增加了。

Durbin說：“去年（2017年），我們開始看到大型制造機構因為被拒之門外，供應受到影響而失去制造能力。”

他補充說：“你處在什么行業并不重要，我們都有供應鏈。我們面臨的挑戰是，我們如何才能真正了解我們的信息處在生命周期各個階段的哪個階段？我們如何在共享信息時保護信息的完整性？

ISF表示，到2018年，企業要關注供應鏈中最薄弱的環節。雖然不是每個安全攻擊都可以提前阻止，但你和供應商必須積極主動。Durbin建議采用強大的、可擴展的和可重復的流程，以得到與面臨風險成正比的保障。組織必須在現有的采購和供應商管理流程中嵌入供應鏈信息風險管理。

法規

法規的復雜性增加了，意義深遠的歐盟通用數據保護規范（European Union General Data Protection Regulation， GDPR）將于2018年初實施，這為關鍵資產管理增加了另一層復雜性。

Durbin說：“GDPR觸手所及之處，我在世界上任何地方和任何人對話沒有它不插足的。這不僅僅關乎合規性，還要確保你在任何時候都能夠在企業和供應鏈上有能力指向個人數據，了解如何管理和保護個人數據，你必須能夠在任何時候說明這個，不僅對監管者，還針對個人。”

他補充說：“如果我們真的要正確地實施它，我們將不得不改變我們做事的方式。

ISF指出，解決GDPR義務所需的額外資源可能會增加合規性和數據管理成本，并將注意力從其它活動中轉移出來，投資也從其它活動中撤出。

未滿足的董事會期望

根據ISF的說法，董事會的期望與信息安全職能實現和成果現實之間的不一致將在2018年構成威脅。

Durbin說：“照例來說，董事會的確明白，它理解它是在網絡空間中運作的，而在很多情況下，它所不了解的是這個問題的全部含義。他們認為一切都在首席信息安全官的掌控之中，在很多情況下，董事會也許仍然不知道如何問到點子上，首席信息安全官仍然不知道如何與董事會談話，或不知道這方面的業務。”

ISF表示董事會預計他們在過去幾年批準增加信息安全預算的決策會使首席信息安全官和信息安全部門能夠立即取得成果。但是一個完美的防范措施是一個不可實現的目標。即使他們明白這一點（很多董事會都不明白），在組織擁有正確的技能和能力的情況下，對信息安全進行實質性改進也需要時間。

這種錯位意味著，當發生重大事件時，不僅僅是組織感受到了影響，董事會成員的個人和集體聲譽都可能會受到嚴重影響。

正因為如此，Durbin說：“現在的首席信息安全官的作用不是確保防火墻矗立不倒，而是預料。你必須預料未來的挑戰會如何影響業務并向董事會闡明，一個優秀的首席信息安全官需要成為推銷員和顧問，但魚與熊掌不能兼得，我可以成為世界上最好的顧問，但如果我不能讓你接受我的想法，那么在董事會議室也不會取得任何進展。總之，首席信息安全官的職位必須要演變。”