每迎來新的一年,網絡犯罪活動都變得更為復雜且更具協作特性。為了成功抵抗2015年當中即將全面肆虐的安全威脅,信息安全專家們必須對五種主導性威脅類型做好應對準備。
在信息安全領域,2014年已經成為極不平凡的一年——網絡威脅與數據泄露等事故以幾乎永無止境之勢一波波襲來,給零售業、銀行業、游戲網絡以及政府機關等行業造成巨大沖擊。
雖然2014年即將走向終點,但我們可以預計埡網絡威脅在規模、嚴重程度以及復雜性等方面勢必有增無減,信息安全論壇(簡稱ISF)常務董事Steve Durbin指出——這是一家專門為其成員提供安全性評估與風險管理問題解決方案的非營利性協會。
展望步步走來的2015年,Durbin表示ISF為接下來的一年整理出五大將占據主導性的安全發展趨勢。
Durbin解釋稱,“對我來說,安全問題本身并不會出現顛覆性的全新變化,新形勢主要表現在此類威脅的復雜性與精密程度方面。”
1.網絡犯罪
互聯網已經成為一片吸引力越來越大的犯罪分子、激進分子乃至恐怖分子的淘金地,他們在這里通過各種非法手段賺取收益,甚至包括通過在線攻擊活動中斷甚至導致企業及政府業務全面停機
當下網絡犯罪活動主要由前蘇聯各成員國所發起。這些國家擁有水平極高的相關技能并配備高度現代化工具——正如Durbin所指出,他們通常會利用二十一世紀工具沖擊于二十世紀構建而成的系統。
“2014年,我們發現網絡犯罪活動顯示出更高級別的協作水平與更令人擔憂的技術層級,而很多大型組織機構還完全沒有意識到這一點,”Durbin指出。
“2015年,企業必須為預期之外的安全問題做好準備,從而保證自身有能力承受無法預料且影響極大的相關事故,”他進一步補充稱。“隨著網絡規模的持續增長、合規性保障的必要成本不斷提升以及針對現有安全保護措施的攻擊技術投入的進一步加大,網絡犯罪活動將掀起一股安全威脅新高潮。企業需要對業務依賴性關系做出更為明確的定性,從而更好地實現業務用例的彈性投資量化效果,最終最大程度削減意外狀況帶來的實際影響。”
2. 隱私與監管
大部分政府機關已經創建出或者正在逐步創建相關規章制度,旨在保證個人可識別信息(簡稱PII)資產的維護與使用,而未能確切遵循相關要求并對上述信息加以保護的組織則面臨著遭受懲罰的風險。有鑒于此,Durbin指出,組織需要將隱私作為一項合規性與業務風險問題進行考量,從而減少監控制裁以及各類業務成本——例如企業信譽受損以及因隱私侵犯導致的客戶流失狀況。
而全球范圍內不同區域所采取的監管機制在彼此結合與雜糅之后,也很可能在2015年讓企業面臨更為沉重的安全保障性負擔。
“我們發現已經有越來越多的監管性計劃開始將信息收集、存儲以及使用機制同針對數據丟失與泄露通知所采取的懲罰性手段結合在一起,此類情況在歐盟地區表現得尤其明顯,”Durbin表示。“希望這一趨勢能夠得到進一步持續與發展,從而在安全效能之外,從法規、人力資源以及中層管理角度對安全監督加以強化。”
他還補充稱,企業應當關注歐盟對于數據泄露法規與隱私保護制度視為基準性參考標準,并據此組織起相應的安全規劃。
“監管機構與政府部門正積極參與其中,”他指出。“而這給企業帶來了更為沉重的負擔。企業需要為此配備更為豐富的應對性資源,并需要深入了解安全態勢的發展狀況。如果大家所在企業中已經聘請了內部法律顧問,那么他們發揮作用的時候就是現在。如果還沒有聘請此類人員,則需要盡快將其納入成本規劃。”
3.來自第三方供應商的安全威脅
供應鏈是每一家企業在全球性業務運營體系當中的重要組成部分,甚至已經成為全球經濟體驗中的支柱與主干。然而正如Durbin所言,安全事務負責人們已經開始越來越多地關注自身企業在面對無數風險因素時的開放程度。供應商往往能夠共享到一系列有價值甚至是敏感性信息,而在信息處于共享狀態時、與之相關的直接控制機制也將失去效力。這無疑將導致信息在保密性、完整性以及可用性等層面面臨更為嚴重的安全風險。
即使是看似無害的連接也可能充當著攻擊活動的實質性引導角色。攻擊Target的犯罪分子就是利用該公司HVAC供應商用于提交發票信息的的Web服務應用程序實施惡意活動的。
“在未來一年中,第三方供應商將進一步面臨來自針對性攻擊活動的威脅壓力,而且很可能無法保障其所涉及數據的機密性、完整性以及/或者可用性,”Durbin表示。“各類規模的企業都需要認真考量供應商帶來負面意外狀況的可能性,其中具體涉及知識產權、客戶或員工信息、商業計劃或者談判內容等等。而這類思路對于負責制造或者分發的合作伙伴也同樣適用。我們還應將專業服務供應商、律師以及會計人員視為潛在高風險群體,因為他們往往也能輕松訪問到最具價值的數據資產。”
Durbin補充稱,信息安全專家應當與負責按照合約提供服務的供應方保持更為緊密的合作關系,并從盡職性調查的角度出發對潛在威脅進行徹底排查。
“當務之急在于,企業需要構建起穩固的業務持續性規劃、從而改善相關彈性并提振高管團隊對于功能交付能力的信心,”他指出。“一套結構良好的供應鏈信息風險評估方案能夠提供詳盡的分步式實施方法,從而將艱巨的項目管理工作拆分成一個個易于完成的步驟性目標。此類方案應該由信息驅動而非以供應商為中心,因此能夠在不同企業環境下具備可擴展能力與可重復利用特性。”
4.辦公環境中的BYOx趨勢
“自帶xx(即BYOx)”趨勢已經客觀存在,無論企業或組織是否認同,Durbin表示,而且就目前來看、幾乎沒有多少企業能夠真正就此開發出良好的指導性政策方案。
“隨著員工不斷將自有移動設備、應用程序、基于云環境的存儲機制以及辦公環境訪問機制引入企業環境,各類規模的組織逐漸發現防范信息安全風險的工作難度已經達到前所未有的新高度,”他指出。“此類風險貫穿企業內部與外部,包括設備本身管理不善、針對軟件漏洞的外部利用以及未經嚴格測試且非可靠性業務應用的部署等等。”
他同時指出,如果大家發現目前所在企業中的BYOx類風險過高,則至少需要確保對事態的進一步發展保持關注與了解。如果大家認為此類風險尚在可接受范圍之內,那么以此為基礎建立一套具備良好架構的BYOx實施方案也未嘗不可。
“請記住,如果實施手段存在問題,那么辦公環境下的個人設備戰略很可能面臨著意外泄露事故的侵擾,其中包括工作與個人數據邊界模糊以及大量業務信息由未受保護的消費級設備所保存及訪問,”他補充稱。
Durbin同時指出,實際上我們做好應對最差情況的準備,即在制定反BYOx管理政策的情況下、用戶仍然想盡一切辦法利用自有設備處理日常工作。
“這有點像嘗試阻扼浪潮涌動,”他表示。“雖然用一點沙子就能暫時擋住其沖擊,但水流總能找到突破的方式。用戶的力量在現代辦公環境下實在太過巨大。”
5. 致力于人為因素的控制
談到這一話題,我們就不能不提每家企業當中規模最龐大的資產兼且最為脆弱的目標:人。
在過去幾十年中,企業已經花費成百上千萬、甚至數十億美元推動信息安全意識的普及工作。Durbin指出,這種作法的深層理由在于,企業意識到人作為業務活動中基本要素的巨大影響能力,并希望利用此類方案改變其行為方式、從而依靠每一位員工對于職責及正確實踐方式的認知對抗各類潛在安全風險。
不過殘酷的事實已經并仍在不斷證明,這種價值主張根本無從實現,Durbin強調稱。相反,企業需要以更為積極主動的安全態度調整自身業務流程,將員工由風險根源轉化為企業安全事務中的第一道強大防線。
“隨著2015年的逐漸來臨,企業需要轉變思維、由以往的問題發現轉化為創建對應解決方案并將能夠切實消減風險程度的信息安全保障手段融入其中,”Durbin表示。“風險真實存在,因為人們的實際表現仍是個‘未知數’。很多企業已經意識到人力是其規模最為龐大的資產類型,而大部分員工仍然無法清醒意識到‘人為因素’在信息安全領域中的重要地位。從本質角度看,人為因素應當是一家企業強大控制體系中的重要甚至核心組成部分。”
“相對于單純要求員工了為相關信息安全負責并掌握應對措施,各類規模企業真正該做的是引入積極的信息安全控制手段,從而將‘三思而后行’作為組織中信息安全文化中的一大良好習慣與立足根基,”Durbin指出。“盡管多數企業都擁有現成的合規性實施方案,但‘安全意識’的缺失往往使其無法切實起效。真正的商業性驅動力應該在于風險本身以及如何利用新型應對方式降低此類風險。”