D1net觀察:我們?nèi)粘R蕾嚨幕ヂ?lián)網(wǎng)可靠嗎,哪些攻擊可以造成互聯(lián)網(wǎng)的中斷,預(yù)防互聯(lián)網(wǎng)中斷可以采取哪些措施?企業(yè)如何面對(duì)物聯(lián)網(wǎng)設(shè)備遭受到勒索軟件的劫持?企業(yè)以為自己的數(shù)據(jù)很安全,但是如果和數(shù)據(jù)安全相關(guān)或者和企業(yè)關(guān)鍵信息相關(guān)的員工遭受暴力威脅,怎么辦?企業(yè)往往會(huì)根據(jù)掌握的信息制定公司戰(zhàn)略和做出決策,但是,企業(yè)掌握的信息可靠嗎?人工智能如火如荼,但是人工智能也可以被攻擊者利用,那么如何防止攻擊者利用人工智能傳播企業(yè)的虛假消息?據(jù)預(yù)測(cè),到2019年,65%的全球頂級(jí)銀行將大規(guī)模地實(shí)施區(qū)塊鏈技術(shù),但是如果區(qū)塊鏈遭到破壞,可能導(dǎo)致未經(jīng)授權(quán)進(jìn)行交易或數(shù)據(jù)泄露、資金轉(zhuǎn)移,欺詐甚至驗(yàn)證欺詐交易,那么,如何避免這種情況的發(fā)生?……國際上的知名信息安全組織“信息安全論壇”經(jīng)過研究和分析,發(fā)布了關(guān)于上述問題的研究報(bào)告,讓我們來了解一下,做到心中有數(shù)。
主題2:所信賴的信息完整性已缺失
為了做出正確的決策,您的企業(yè)依賴于準(zhǔn)確可靠的信息。如果信息的完整性受到損壞,那么您的企業(yè)也會(huì)同樣遭遇損害。由于“假消息”開始出現(xiàn)在主要政客身上,最近這個(gè)問題已經(jīng)突顯出來。信息安全論壇(ISF)認(rèn)為,在未來兩年內(nèi),攻擊者將散播謠言或歪曲內(nèi)部信息,希望以此來詆毀對(duì)方的聲譽(yù)或降低其運(yùn)營效率,獲得競(jìng)爭(zhēng)優(yōu)勢(shì)或金融優(yōu)勢(shì)。
“隨著數(shù)據(jù)量的增加,任何人都不可能絕對(duì)保證數(shù)據(jù)的完整性,”杜賓說。“我們?nèi)绾闻c企業(yè)合作,以確保我們可以利用他們的信息來做出盡可能準(zhǔn)確的決策?我們將以首席信息安全官(CISO)的方式,特別是在企業(yè)內(nèi)部,來看待這一變化。很久以來,我們就認(rèn)為這是一個(gè)信息技術(shù)(IT)安全的問題,但是首席信息安全官一直在關(guān)注自己的角色,以及信息技術(shù)安全如何發(fā)展來更多地影響到業(yè)務(wù)工作,這更類似于在信息領(lǐng)域的風(fēng)險(xiǎn)管理。”
杜賓表示,組織機(jī)構(gòu)可以通過積極的手段來減少不良信息的影響:監(jiān)控他人在網(wǎng)絡(luò)上對(duì)企業(yè)的看法,并跟蹤內(nèi)部信息的變化,以提供預(yù)警信號(hào)。
自動(dòng)生成虛假消息會(huì)立即贏得可信度
人工智能(AI)角色的發(fā)展產(chǎn)生了聊天機(jī)器人,其很快將變得與真人聊天難以區(qū)分。攻擊者能夠利用這些聊天機(jī)器人來傳播針對(duì)商業(yè)機(jī)構(gòu)的虛假信息:無需破壞一個(gè)企業(yè)的數(shù)字系統(tǒng),攻擊者可通過散播令人信服的假消息來破壞該企業(yè)的聲譽(yù),這些假消息可能涉及企業(yè)的運(yùn)作情況或產(chǎn)品。一個(gè)攻擊者可以部署數(shù)百個(gè)聊天機(jī)器人,每個(gè)機(jī)器人都會(huì)傳播惡意信息,然后這些謠言就在社交媒體和新聞?wù)军c(diǎn)上傳播。
攻擊行為不僅僅針對(duì)聲譽(yù)問題。虛假消息也可以用來操縱公司的股價(jià)。去年二月份,德國支付公司W(wǎng)irecard AG發(fā)現(xiàn),有公司偽造了一份“詳細(xì)敘述”了欺詐行為的報(bào)告,這是十分困難的事情。雖然后來該報(bào)告被證明是偽造的,但該公司的股價(jià)由此暴跌了三個(gè)月才恢復(fù)。
您將無法阻止聊天機(jī)器人散播關(guān)于貴公司的虛假信息,但認(rèn)識(shí)到安全威脅并制定事件應(yīng)急響應(yīng)計(jì)劃就可以減輕所受到的損害。
為了保護(hù)您的組織機(jī)構(gòu)免受侵害,信息安全論壇(ISF)建議您做以下工作:
• 制定一些方案,將虛假信息散播到整個(gè)事件管理過程中。
• 在大型組織機(jī)構(gòu)發(fā)布公告或重大事件發(fā)生前后,擴(kuò)大對(duì)社交媒體的監(jiān)控。
• 與行業(yè)機(jī)構(gòu)合作游說政府和監(jiān)管機(jī)構(gòu),研究以何種方式來識(shí)別和起訴散播假消息和錯(cuò)誤信息的行為。
• 可以考慮增加現(xiàn)有社交媒體的投入,以主動(dòng)抵制錯(cuò)誤信息的散播(例如鼓勵(lì)員工傳播正確的消息和上報(bào)可疑的帖子。)
虛假信息會(huì)損害企業(yè)績(jī)效
各機(jī)構(gòu)越來越依賴于數(shù)據(jù)來推動(dòng)他們的決策,這意味著不法分子和競(jìng)爭(zhēng)對(duì)手可以將錯(cuò)誤信息提供給他們,以造成安全威脅。信息安全論壇(ISF)認(rèn)為,在未來兩年內(nèi),三種針對(duì)信息完整性的攻擊將變得司空見慣:
• 篡改分析系統(tǒng)所使用的大數(shù)據(jù)集。
• 操縱財(cái)務(wù)記錄和報(bào)告,或銀行帳戶詳細(xì)信息。
• 在信息披露之前進(jìn)行修改。
例如,如果一個(gè)公用事業(yè)公司,分析智能電表的數(shù)據(jù),以平衡其發(fā)電量與目前的用電需求。攻擊者可以操縱智能電表數(shù)據(jù),錯(cuò)誤地顯示出一個(gè)高用電需求。這種操縱行為可以導(dǎo)致發(fā)電量激增。如果電量激增足夠大,可能導(dǎo)致供電電網(wǎng)發(fā)生故障。
偽造數(shù)據(jù)或數(shù)據(jù)失真也可能會(huì)對(duì)藥物研究產(chǎn)生重大影響,藥物研究越來越多地依賴大數(shù)據(jù)分析,以提高新藥的建模和試驗(yàn)速度。
杜賓表示,組織機(jī)構(gòu)需要現(xiàn)在就開始行動(dòng),以確保通過信息風(fēng)險(xiǎn)評(píng)估可以解決數(shù)據(jù)完整性攻擊所產(chǎn)生的可能和影響。
針對(duì)一些準(zhǔn)備工作,信息安全論壇(ISF)建議您采取以下措施:
• 采取措施來驗(yàn)證和維護(hù)關(guān)鍵數(shù)據(jù)庫的完整性。
• 將受到侵害的不完整信息納入商業(yè)風(fēng)險(xiǎn)評(píng)估中;讓整個(gè)組織機(jī)構(gòu)中的利益相關(guān)者來衡量其業(yè)務(wù)所受到的影響。
• 與同行協(xié)作,共享信息完整性攻擊的情報(bào)。
• 在公布事實(shí)證據(jù)以反擊虛假聲明之前,向法律專業(yè)人士咨詢。
• 利用“聯(lián)合身份和訪問管理(FIAM)”系統(tǒng)和內(nèi)容管理系統(tǒng)(CMS)等工具監(jiān)控敏感信息的訪問和更改。
顛覆性的區(qū)塊鏈技術(shù)將打破已有的信任
許多組織機(jī)構(gòu)正在嘗試區(qū)塊鏈技術(shù),因?yàn)樗A(yù)示著可以保證交易的完整性,而無需(在交易中心的)可信第三方。
去年在“哈佛商業(yè)評(píng)論”期刊中的一篇文章--“區(qū)塊鏈革命:比特幣背后的技術(shù)是如何改變金錢、商業(yè)和世界”的作者,唐·塔普斯科特(Don Tapscott)和年輕的亞歷克斯·塔普斯科特(Alex Tapscott)認(rèn)為,“我們的研究項(xiàng)目持續(xù)了兩年,采訪了數(shù)百位區(qū)塊鏈專家,所收集的強(qiáng)有力的證據(jù)表明,該區(qū)塊鏈技術(shù)可能會(huì)以更深遠(yuǎn)的方式改變企業(yè)、政府和社會(huì)。”
塔普斯科特表示,到2019年,65%的全球頂級(jí)銀行將大規(guī)模地實(shí)施區(qū)塊鏈技術(shù)。
但是,杜賓指出,像任何技術(shù)一樣,區(qū)塊鏈技術(shù)也將容易受到破壞。潛在的漏洞包括弱加密、散列和密鑰管理;程序代碼寫得不好;權(quán)限許可不正確和業(yè)務(wù)規(guī)則不完整。如果一個(gè)區(qū)塊鏈遭到破壞,信息安全論壇(ISF)說,所受影響客戶、高管層和用戶的信任將受到破壞,并且將需要付出極大的努力來進(jìn)行重建。
遭受破壞的區(qū)塊鏈可能導(dǎo)致未經(jīng)授權(quán)進(jìn)行交易或數(shù)據(jù)泄露、資金轉(zhuǎn)移,欺詐甚至驗(yàn)證欺詐交易。
為了避免這種情況發(fā)生,杜賓表示,必須注意在區(qū)塊鏈應(yīng)用的各個(gè)階段,包括設(shè)計(jì)、構(gòu)建、實(shí)施和操作階段,都將信息安全融入其中。業(yè)務(wù)經(jīng)理、開發(fā)人員和信息安全專業(yè)人員之間需要密切合作。
信息安全論壇(ISF)建議您做以下工作:
任命一個(gè)發(fā)起人或指導(dǎo)委員會(huì),廣泛征求意見,并就整個(gè)組織機(jī)構(gòu)內(nèi)采用和使用區(qū)塊鏈技術(shù)做出決定。
培訓(xùn)員工如何安全使用區(qū)塊鏈技術(shù),并能夠發(fā)現(xiàn)可疑活動(dòng)。
評(píng)估外部單位使用區(qū)塊鏈的安全控制(例如,審核其安全控制的強(qiáng)度,如加密密鑰管理和訪問控制措施)。
與行業(yè)論壇和專家溝通,以促進(jìn)制定安全操作準(zhǔn)則和安全實(shí)施標(biāo)準(zhǔn)。
咨詢法律人士以了解使用區(qū)塊鏈技術(shù)的合同含義。
在基于區(qū)塊鏈技術(shù)應(yīng)用的設(shè)計(jì)、實(shí)施和操作過程中,需要將信息安全要求納入其中。
京公網(wǎng)安備 11010502049343號(hào)