“信息安全論壇”是一個非盈利性機構,每年都會研究和分析安全及風險管理相關問題,并發布其“威脅視野”報告,以提供未來兩年最大安全威脅的前瞻性觀點。本文提供了截止2019年的九大安全威脅。
信息安全威脅的格局總是在不斷地發展變化。為了幫助您了解這一變化,信息安全論壇(ISF)每年都會代表其成員來研究和分析安全及風險管理問題,發表“威脅視野”報告,并且就未來兩年內的最大安全威脅為其成員提供前瞻性觀點。以下是當前截止至2019年的9個最大安全威脅,您的企業可能需要加強管理以降低安全風險。
主題1:過度依賴脆弱的互聯網連接,而其極易遭受破壞
當今的企業依賴于即時和不間斷的互聯網連接、智能物理設備和值得信賴的人。但這種依賴性使得他們的核心互聯網基礎架構、日常業務中所使用的設備以及訪問重要信息的關鍵人員都容易受到攻擊。
信息安全論壇(ISF)總經理史蒂夫·杜賓(Steve Durbin)表示:“我們依賴于互聯網已經很久了,已經將其視為一種工具。如果你遭遇突然斷電,這可是個重大問題。通常企業會配備其他的應急設施(例如發電機),但沒有人會為互聯網做類似的應急設施準備,他們認為互聯網會始終在那正常運轉,而不會發生故障。”
杜賓說,為了安全起見,企業需要重新思考其安全防御模式,特別是針對業務連續性和災難恢復計劃。在受到針對破壞互聯網連接或者針對關鍵人物的網絡攻擊時,依靠員工遠程辦公的方案將無法實現。信息安全論壇(ISF)建議重新修改方案,使該方案能涵蓋發生以下情況,即對物理設備造成安全威脅以及因基礎設施、設備或人員受到網絡攻擊造成停機。
有預謀地破壞互聯網連接使業務癱瘓
隨著全球沖突的增加,并且沖突的數量和嚴重程度也越來越高。信息安全論壇(ISF)預測,在未來兩年內,一些國家和團體將尋求新的方式進行大面積的破壞,包括在當地甚至某一地區造成互聯網中斷。商業組織和政府機構可能成為其目標,如果通信系統發生故障,業務慢慢停擺,行業損失將會達數百萬美元。
由于“即時”供應鏈模式日益普及,即使是短暫的互聯網中斷也可能導致供應短缺,杜賓說道。金融服務機構也是極為脆弱的,針對這些機構的互聯網中斷可能導致其發生階梯式破產。例如,如果票據交易所(結算付款機構)發生連接中斷,那么在此期間所有行業的組織機構可能會無法付款或收款。即使像政府的執法機構也要依靠互聯網進行通信。
在該領域的攻擊可能包括切斷電纜(可能發生在海底,而修復可能需要很長時間)、使根域名服務器(DNS)或數據中心發生故障、分布式拒絕服務(DDos)攻擊,利用大量僵尸網絡,甚至操縱互聯網地址和路由,以確保流量無法到達其指定的目的地。
信息安全論壇(ISF)說,應對這種攻擊所引起的混亂將需要中央政府通過國家重要的基礎設施計劃來協調解決。個別組織機構也必須清楚其依賴互聯網的程度,并制定計劃,以解決相對頻繁發生的攻擊風險。
信息安全論壇(ISF)建議您做以下工作:
• 與內部和外部利益相關者溝通,達成和確定其他的通訊方式
• 與地方性機構(例如政府、競爭對手、行業論壇)建立關系,為互聯網通信發生故障時制定新的和標準化的應急計劃
• 評估通信提供商的應急計劃; 要求其符合標準化或組織規劃,同時確保解決與合作伙伴間存在的應急計劃的差距
• 為關鍵系統和服務制定替代性供應鏈模型
勒索軟件劫持物聯網
不法分子越來越多地利用勒索軟件獲利。他們將受害者的數據加密,然后要求其付款,再提供加密密鑰。根據去年賽門鐵克公司發布的一份報告,不法分子為其控制數據提出勒索的平均贖金從2015年的294美元上漲至2016年的679美元。去年美國聯邦調查局(FBI)估計,截止2016年底,網絡不法分子通過勒索軟件所獲得的收入已達到約10億美元。
信息安全論壇(ISF)認為,在未來兩年,網絡不法分子將越來越多地把勒索軟件植入與物聯網(IoT)連接的智能設備上。攻擊者可以持有特定的贖金設備,但信息安全論壇(ISF)認為他們也將通過這些設備,在整個組織機構中的其他設備和系統上安裝勒索軟件。
這種攻擊行為有可能破壞商業運作和自動化生產線。但是,如果這些攻擊行為影響到了醫療植入物或車輛部件,那么這些攻擊行為也可能是致命的。
“醫療設備和制造業產品,所有這一切‘東西’都存在于我們生活中,”杜賓說道。“無人駕駛汽車、交通運輸、鐵路、金融服務。我們已經在所有這些領域都安裝了智能設備,并且所有這些智能設備都存在于現實世界中,但我們從未真正考慮清楚接下來該怎么做,這似乎有點太晚了。”
杜賓表示,連接設備的制造商需要與客戶合作解決安全漏洞,并且至少確保一些基本的安全功能始終可以使用。所有組織機構都需要明確他們當前所連接設備的使用狀態,以后如何計劃增加設備的使用,以及如果一個或多個設備受到勒索軟件的劫持,那么他們將會受到什么影響。
信息安全論壇(ISF)建議您采取以下措施:
• 對制造商施加壓力(例如,通過行業機構),使其在設備中提供全面的安全功能。
• 游說并影響行業機構,制定規則,確保物聯網設備達到最低安全標準。
• 提高整個組織機構內對勒索軟件威脅的認識,并規定采購具備最低安全要求的物聯網設備。
• 將與物聯網相關的勒索軟件案例納入到您的業務連續性計劃中,并定期模擬演習發生勒索軟件劫持。
• 與制造商和客戶合作,收集有關您所使用的物聯網設備相關安全威脅情報。
脅迫享有特權內部人員交出關鍵信息
您的工作?可能涉及高科技和數字化業務,但您的員工存在于現實世界中,這使得他們很容易受到敲詐勒索、恐嚇和暴力的侵害。信息安全論壇(ISF)表示,在未來的兩年中,資金充足的犯罪集團將其全球影響力和數字化專長與現實中的暴力威脅相結合,挾持有特權的內部人員,使其交出關鍵信息資產(如財務明細、知識產權和戰略計劃)。
這些特權內部人員可能是高級業務經理和高管,但也可能是他們的個人助理、系統管理員、基礎設施架構師、網絡支持工程師甚至是某些外部承包商。一些極端的情況可能涉及“老虎綁架”這些內部人員的家庭成員。
信息安全論壇(ISF)認為,犯罪團伙可能會因為以下三個原因而使用這些手段:
• 他們可以大大降低其所需要的網絡專業技能,用“武力”來代替專業知識。
• 他們可以持續利用受害者,并說服他們再次就范。
• 他們可以在“一般交易”操作時,竊取關鍵信息。
為了保護自身免受這些威脅,信息安全論壇(ISF)建議您采取以下措施:
• 明確您的關鍵信息資產以及它的所有人及管理人。
• 采取特別措施對這些特權人員進行保護(例如,進行人身安全防范的指導,接觸社交工程的方法)。
• 在組織機構內實施某些機制,以保護內部人員免受安全威脅(例如,篩選新員工;在雇傭合同中嵌入適當的條款)。
京公網安備 11010502049343號