全球性安全威脅的格局每年都在演化。為了應(yīng)對2018年的威脅,企業(yè)必須了解這五大全球性網(wǎng)絡(luò)威脅。
如果你認為2017年對于數(shù)據(jù)泄露來說是可怕的一年,那么2018年走著瞧。信息安全論壇(ISF)是一個專注于網(wǎng)絡(luò)安全和信息風(fēng)險管理的全球性獨立信息安全機構(gòu),它預(yù)測數(shù)據(jù)泄露的數(shù)量和影響會增大,這在很大程度上要歸咎于組織將在2018年面臨的五大全球性安全威脅。
ISF的總經(jīng)理Steve Durbin說:“信息安全威脅的范圍之廣,速度之快,正在危害當(dāng)今最可靠的組織的聲譽”。在2018年,我們將看到威脅情況日益復(fù)雜,威脅是針對其目標(biāo)的薄弱環(huán)節(jié)進行個性化處理,或者是考慮到已經(jīng)實施的防御措施而變形,目前的危害比以往任何時候都高。
Durbin說,和數(shù)據(jù)泄露的數(shù)量一同增長的是攻擊記錄的數(shù)量。正因為如此,明年對大大小小的組織來說,遭受攻擊的機率都要高得多。Durbin說,傳統(tǒng)領(lǐng)域,比如網(wǎng)絡(luò)清理和客戶通知,將會解釋這些成本中的一些成本,但是新的領(lǐng)域會產(chǎn)生額外的成本,例如涉及越來越多的訴訟。ISF預(yù)測,憤怒的客戶將迫使政府采取更嚴格的數(shù)據(jù)保護立法,這也要產(chǎn)生成本。
根據(jù)ISF的報告,推動這一趨勢的是企業(yè)在2018年將要面臨的以下五大全球性安全威脅:
· 犯罪即服務(wù)(CaaS)將擴展現(xiàn)有的工具和服務(wù)。
· 物聯(lián)網(wǎng)(IoT)將進一步增加未經(jīng)管理的風(fēng)險。
· 供應(yīng)鏈仍然是風(fēng)險管理中最薄弱的環(huán)節(jié)。
· 監(jiān)管將增加關(guān)鍵資產(chǎn)管理的復(fù)雜性。
· 未經(jīng)滿足的董事會期望將會受到重大事件的影響。
犯罪即服務(wù)
去年,ISF預(yù)測CaaS將會有一次飛躍,犯罪集團將進一步發(fā)展模仿大型私營部門組織的復(fù)雜層級,伙伴關(guān)系和合作。
Durban說,事實證明該預(yù)測是有先見之明的,因為2017年“網(wǎng)絡(luò)犯罪,特別是犯罪即服務(wù)”大幅增加。ISF預(yù)測,這一進程將在2018年繼續(xù)下去,犯罪組織將活動范圍擴大到新市場,并在全球范圍內(nèi)將其活動商品化。ISF表示,有些組織將根植于現(xiàn)有的犯罪結(jié)構(gòu),而其它一些組織只關(guān)注網(wǎng)絡(luò)犯罪。
最大的區(qū)別是什么呢?在2018年,CaaS將使沒有太多技術(shù)知識的“野心勃勃的網(wǎng)絡(luò)犯罪分子”能購買工具和服務(wù),使他們能夠進行本來無法進行的攻擊”,Durbin這樣說道。
他補充說:“網(wǎng)絡(luò)犯罪不再僅僅是針對大型蜜罐:知識產(chǎn)權(quán)和大型銀行。”
以如今最流行的惡意軟件類別加密勒索軟件(cryptoware)為例。在過去,使用勒索軟件的網(wǎng)絡(luò)犯罪分子依賴于一種不正當(dāng)?shù)男湃涡问剑核麄儠i定你的計算機,受害者會用金錢贖回它,而犯罪分子會解鎖計算機。但Durbin說,野心勃勃的網(wǎng)絡(luò)犯罪分子引進到這個領(lǐng)域意味著“信任”正在崩潰。即使是支付贖金的受害者可能也無法獲得解鎖財產(chǎn)的鑰匙,或者網(wǎng)絡(luò)犯罪分子可能會一次又一次地回來。
與此同時,Durbin說,網(wǎng)絡(luò)犯罪分子在使用社交工程方面正變得越來越老練。雖然他們的目標(biāo)一般是個人而不是企業(yè),但這種攻擊仍然對組織構(gòu)成威脅。
他說:“對于我來說,企業(yè)與個人的界限越來越模糊。個人越來越像企業(yè)。”
物聯(lián)網(wǎng)
組織越來越多地采用物聯(lián)網(wǎng)設(shè)備,但是大多數(shù)物聯(lián)網(wǎng)設(shè)備在設(shè)計上并不安全。此外,ISF警告說,快速發(fā)展的物聯(lián)網(wǎng)生態(tài)系統(tǒng)將會越來越缺乏透明度,模糊的條款和條件允許組織以非客戶想要的方式使用個人數(shù)據(jù)。在企業(yè)方面,組織知道哪些信息正在離開他們的網(wǎng)絡(luò),或者哪些數(shù)據(jù)正在被智能手機和智能電視等設(shè)備偷偷地俘獲和傳輸,這將是個問題。
如果發(fā)生數(shù)據(jù)泄露事件,或出現(xiàn)透明度違規(guī),組織可能會被監(jiān)管機構(gòu)和客戶追究責(zé)任。而在最壞的情況下,工業(yè)控制系統(tǒng)中嵌入的物聯(lián)網(wǎng)設(shè)備的安全攻擊可能導(dǎo)致人身傷害和死亡。
Durbin說:“從制造商的角度來看,了解你的使用模式,更好地了解個人,顯然是非常重要的。但所有這些都衍生出比以前更多的威脅向量。”
Durbin補充說:“我們?nèi)绾未_保它們的安全,以便我們掌握控制權(quán),而不是讓設(shè)備被他人控制?我們將會看到更多這方面的意識的提高。”
供應(yīng)鏈
ISF多年來一直在提供應(yīng)鏈脆弱性的問題。正如該組織所指出的那樣,供應(yīng)商往往會與組織分享一系列有價值的敏感信息。當(dāng)這些信息被共享時,直接控制就會丟失。這意味著增加了危及該信息的機密性,完整性或可用性的風(fēng)險。
Durbin說:“去年,我們開始看到大型制造機構(gòu)因為被拒之門外,供應(yīng)受到影響而失去制造能力。”
他補充說:“你處在什么行業(yè)并不重要,我們都有供應(yīng)鏈。我們面臨的挑戰(zhàn)是,我們?nèi)绾尾拍苷嬲私馕覀兊男畔⑻幵谏芷诟鱾€階段的哪個階段?我們?nèi)绾卧诠蚕硇畔r保護信息的完整性?
ISF表示,到2018年,企業(yè)要關(guān)注供應(yīng)鏈中最薄弱的環(huán)節(jié)。雖然不是每個安全攻擊都可以提前阻止,但你和供應(yīng)商必須積極主動。Durbin建議采用強大的、可擴展的和可重復(fù)的流程,以得到與面臨的風(fēng)險成正比的保障。組織必須在現(xiàn)有的采購和供應(yīng)商管理流程中嵌入供應(yīng)鏈信息風(fēng)險管理。
法規(guī)
法規(guī)的復(fù)雜性增加了,意義深遠的歐盟通用數(shù)據(jù)保護規(guī)范(European Union General Data Protection Regulation, GDPR)將于2018年初實施,這為關(guān)鍵資產(chǎn)管理增加了另一層復(fù)雜性。
Durbin說:“GDPR觸手所及之處,我在世界上任何地方和任何人對話沒有它不插足的。這不僅僅關(guān)乎合規(guī)性,還要確保你在任何時候都能夠在企業(yè)和供應(yīng)鏈上有能力指向個人數(shù)據(jù),了解如何管理和保護個人數(shù)據(jù),你必須能夠在任何時候說明這個,不僅對監(jiān)管者,還針對個人。”
他補充說:“如果我們真的要正確地實施它,我們將不得不改變我們做事的方式。
ISF指出,解決GDPR義務(wù)所需的額外資源可能會增加合規(guī)性和數(shù)據(jù)管理成本,并將注意力從其它活動中轉(zhuǎn)移出來,投資也從其它活動中撤出。
未經(jīng)滿足的董事會期望
根據(jù)ISF的說法,董事會的期望與信息安全職能實現(xiàn)成果的現(xiàn)實之間的不一致將在2018年構(gòu)成威脅。
Durbin說:“照例來說,董事會的確明白,它理解它是在網(wǎng)絡(luò)空間中運作的,而在很多情況下,它所不了解的是這個問題的全部含義”。他們認為一切都在首席信息安全官的掌控之中,在很多情況下,董事會也許仍然不知道如何問到點子上,首席信息安全官仍然不知道如何與董事會談話,或不知道這方面的業(yè)務(wù)。”
ISF表示董事會預(yù)計他們在過去幾年批準(zhǔn)的增加信息安全預(yù)算會使首席信息安全官和信息安全部門能夠立即取得成果。但是一個完全的組織是一個不可實現(xiàn)的目標(biāo)。即使他們明白這一點,很多董事會都不明白,即使在組織擁有正確的技能和能力的情況下,對信息安全進行實質(zhì)性改進也需要時間。
這種錯位意味著,當(dāng)發(fā)生重大事件時,不僅僅是組織感受到了影響,董事會成員的個人和集體聲譽都可能會受到嚴重影響。
正因為如此,Durbin說,首席信息安全官的職位必須要演變。
他說:“現(xiàn)在的首席信息安全官的作用不是確保防火墻矗立不倒,而是預(yù)料。你必須預(yù)料未來的挑戰(zhàn)會如何影響業(yè)務(wù)并向董事會闡明,一個優(yōu)秀的首席信息安全官需要成為推銷員和顧問,但魚與熊掌不能兼得,我可以成為世界上最好的顧問,但如果我不能讓你接受我的想法,那么在董事會議室也不會取得任何進展。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。