信息安全威脅領域一直在發展進化。為幫助人們熟悉領域內的風景,“信息安全論壇(ISF)”這一為其成員評估安全和風險管理問題的非營利性機構每年都會發布一份《威脅視野》報告,向其成員提供未來2年內重大安全威脅的前瞻性考慮。以下內容為《威脅視野》上列出的,到2017年為止,您的組織應該予以重視的9大威脅。
技術顛覆通常被看作是好事,指引人們創建新興市場和價值網絡。但這一法則對壞人也適用。
“我們當下所見的很多威脅都是由技術驅動或制造出來的。我們常常為顛覆性創新歡欣鼓舞,但從中受益的并非總是好人。”--ISF常務董事史蒂夫·德賓
一、高速網絡壓倒防御
低廉的價格和超高速千兆比特連接性在開辟新市場和尋找新商機上擁有廣闊潛力,尤其是在像遠程呈現、娛樂和嵌入式設備等領域里。但就是這同一套超快的信息通道也為犯罪分子們開創了作案新手段。
對組織的挑戰在于你實際上是怎樣處理高速網絡引發的整個問題。意思是網絡連接的增強,令系統被特定攻擊和被破壞的可能性增大。
為應對這一威脅,ISF建議與供應商進行彈性規劃,并對嵌入式設備風險進行識別和評估。
二、犯罪集團已領先一步
有組織的犯罪團伙很早就看到了互聯網的潛力,一直在發展自身的數字能力,將他們的犯罪活動遷移到網上平臺。這些攻擊者有著充足的預算、深厚的技術支持和高度精密復雜的工具。
“他們在相互溝通和利用我們確實擁有的先進技術建立自己的卓越平臺上真的非常高效。正好反襯出我們需要在溝通和合作上大幅提高效率了。”
組織需要參與進私有威脅信息共享中來。德賓同時建議優先保護最高價值的信息,并對網絡保險的費用和收益進行評估。
三、守舊派引發混亂
過去幾十年里,制造業工人承受了技術進步對自動化和效率的提升所帶來的失業潮的沉重打擊。今天,自動化概念跨越制造業,滲入社會生活各方各面。其造成的社會-經濟不平等很可能導致能摧毀受影響地區經濟和供應鏈的大范圍的社會動蕩。
“我們擔心在接下來的兩年里會開始看到由快速技術進步導致的社會動亂激增。個人的價值越來越由其所具有的技能來決定,如果你的技能點不合時宜,未來的社會中你將過得艱難。”
為預防此類威脅,ISF建議在你的公司可能受到沖擊的地區進行威脅評估,并重新修訂公司的風險偏好以防關鍵供應商出現的混亂和破壞。
復雜性帶來的問題
互聯網原先可能只是設計來作為一種恢復性措施,但如今我們越來越依賴于技術和網絡,以致少數關鍵領域一旦遭受攻擊或故障就有可能引發災難性后果。
四、依賴關鍵基礎設施變得危險
全球很多社區依賴關鍵基礎設施,而這些關鍵基礎設施往往年久失修。更有甚者,某些技術常常在多個關鍵領域扮演支柱角色。
作為例子,德賓談到了國土安全部在2011所做的一個研究,研究發現美國15個關鍵基礎設施系統中有11個依賴GPS作為核心組件。一旦GPS系統崩潰,一切都將停止運轉。另一個例子是2013年4月美聯社推特賬號被劫持事件。攻擊者用那個賬號發布了一條假消息稱白宮發生爆炸致使總統受傷,直接導致股市自由落體式暴跌了5分鐘,直至這一謊言被揭穿才止住跌勢。
為迎戰這一風險,ISF建議升級你的商業持續性計劃,進行經常性模擬演練,并對重要基礎設施(如云服務)崩潰的影響進行評估。
五、系統性漏洞成為攻擊武器
單一技術一統江湖會引領惡意人士找到個別技術公司軟件系統的系統漏洞作為攻擊武器,威脅到互聯網基礎設施的完整性。
“比如說,甲骨文公司可以提供各種各樣的應用,這些應用真心涵蓋了垂直市場和應用領域的各方各面。若目標對準這樣的供應商,還真是不得不擔心。”
而且,世上當然不只甲骨文一家。蘋果iOS、安卓、思科和其他公司的路由器等等系統和設備的大量應用意味著其中任何一種出現漏洞都能造成大范圍的漏洞利用效應。
ISF建議拓寬風險評估,將廣泛應用的技術和供應商也納入考慮范圍,并升級應對系統性漏洞的全局響應計劃。
六、老舊技術成拖累
現今很多組織都忙于延長自身技術的壽命,換句話說就是持續支持老舊技術。而連接性的增加又意味著老舊技術將更深層次地暴露在攻擊者眼皮底下。
舉個例子,直到去年,美國國土上95%的自動取款機(ATMs)都還使用Windows XP操作系統,即使微軟已經宣布停止對這一操作系統的支持,包括安全補丁也不再提供。
“此類事件的影響可能會是維護費用的增加。這將從本就捉襟見肘的IT安全預算中再揩下一層油。”
ISF建議甄別和評估你的組織對老舊技術的依賴程度。你應當升級系統架構并為現代化做好準備。
七、數字服務崩潰引發的死亡
由于數字系統越來越多地參與到對現實資產的控制中來,這些系統(如交通和醫療服務)的崩潰導致可查證的死亡也只是時間早晚問題。這種事件造成的公眾壓力將迫使相關組織進行回應。
“僅僅英國,據估測,到2017年將有5例死亡在某種形式上是網絡導致的。這里的重點不在于數字,而是,作為一門生意,作為服務或產品的供應商,你絕對不想成為那個需要為這五例死亡中一例負責的組織。”
ISF建議評估對網絡-現實系統的依賴性和負責度,并調整修訂公司溝通和危機響應機制。
不能自滿
當下的組織都太過于洋洋自得了。他們對國際邊界上藏匿的威脅投入的關注遠遠不夠。
八、全球化危及競爭和安全
大范圍信息提供者,如谷歌,還在繼續向全球市場擴張。他們在自身領域的統治地位和商業競爭的缺乏都將導致客戶處于潛在的服務宕機的威脅之中。平臺市場是另一個例子。蘋果iOS生態體系時至今日已覆蓋了從應用生產商到支付網絡的整個產業鏈,令這些企業都處于蘋果生態系崩潰的威脅之中。
ISF建議對缺乏替代者的霸主供應商進行風險鑒別和評估,并尋找和多樣化關鍵服務的供應商。
九、數據泄露的沖擊急劇增加
即使數據泄露事件的數量增多,破壞性上升,組織還是越來越自滿于應對數據泄露的手段。
“公司對自己處理數據泄露的手段正變得越來越洋洋自得。我們已經變得麻木。我們知道這對股價不會有長期影響。”
短期而言,大范圍的數據泄露可能會導致你在股市上遭受打擊,但只要你能安然渡過,長期來看你的股價受到的影響幾乎為零。但是,盡管如此,像歐盟這樣的組織正在圍繞個人可識別信息(PII)在對泄密進行罰款的基礎上制訂各種規范。如果你再不摒棄自滿自得,法律法規上的新舉措很可能就拿你開刀了。
ISF建議在所處理數據的地點和內容上重新審查所有潛在的司法責任,并保證對數據泄露的責任都清晰明確地列入了供應合同中。
原文地址:http://www.aqniu.com/neo-points/7022.html
京公網安備 11010502049343號