信息安全威脅態勢一直處于不斷發展變化的過程中。每一年,專注安全和風險管理研究的非營利組織“信息安全論壇(ISF)”,都會發布《威脅地平線》報告,提出關于未來兩年內重大安全威脅的前瞻性觀點。此處就為您呈上2016年報告中指出的未來兩年九大信息安全威脅。
技術應用大幅延伸了威脅涵蓋范圍
現代社會,技術已成為日常生活中不可或缺的一部分。未來兩年內,技術在人們生產生活中所占的比重只會日趨增長,人們做任何事都會如此依賴技術。公司企業明顯開始認識到,只有最大限度利用這一趨勢才能在現代社會站穩腳跟,逆勢而為是沒有活路的。但隨著公司企業不斷最大化他們的生產效能,更為擴展、復雜的威脅態勢也就擺在了他們面前。
1. 物聯網敏感信息泄露
隨著實時數據收集的價值越來越為人所知,物聯網的快速興起簡直順理成章。無論是優化昂貴工業設備的正常運行時間、監測流量、收集實時健康信息,還是很多其他什么應用,公司企業和個人都在采用物聯網設備。但是,用來收集數據的設備未必就是安全的,很有可能給公司企業開了個供外人進出的后門。物聯網生態系統中常見的透明性缺乏,也就是涉及個人數據使用的協議條款模糊不清等狀況,也會使公司企業陷入隱私相關問題的泥潭中難以自拔。這是公司企業必須嚴肅對待的一項特殊挑戰。沒人會到商店里說"給我拿最安全的設備",人們通常都選最好看的,或者功能最多的。ISF的信息安全專家們建議:
在向網絡中加進物聯網設備時應用安全規程,不然就準備好迎接監管罰款和聲譽損失。
在物聯網部署前先征得數據收集許可,不只是哪些信息能被收集,還要考慮哪些信息能被共享,以及可以共享給誰。
確保客戶數據使用的條款是透明清晰且符合合規要求的。
全盤考慮物聯網安全,而不是針對設備個別處理。
2. 不透明的算法危害完整性
公司企業越來越多地在關鍵系統中采用算法來運營和做決策,從自動泊車到自動交易,莫非如是。缺了人的參與,公司企業對自身系統的運作和互動機制也就越來越不了解了。這種透明性的缺乏可能會帶來嚴重的安全風險,或許有一天算法間的非預期交互說不定就產生了能導致嚴重后果的事件呢。此類事件的一個著名例子,就是2014年10月美國國債的“閃電崩盤”事件。當時那些算法就曾短暫推動債券收益率大幅下降。要知道,我們時不時的就會干點蠢事。你得了解自家算法系統的某些弱點。我們的系統越來越多地建立在算法的基礎上——工業控制、關鍵基礎設施等等。這些領域中留待我們解決的風險越來越多,ISF建議:
發現算法控制系統的暴露點,知曉什么情況下需要人的介入,什么情況下是故障安全的。
更新代碼維護策略。
找到算法相關事件風險的不同處理方式,尤其是在保險也承擔不了的情況下。
保障健壯的業務連續性和彈性規劃。
3. 流氓政府利用恐怖組織發動網絡攻擊
流氓政府從經濟、武器和后勤上為恐怖組織提供支持,以便自身可以進行秘密行動而事后加以推諉。ISF認為,未來2年中,這種形式的支持將會延伸至網絡攻擊范疇(知識、培訓、軟件和硬件),讓恐怖組織得以攻擊別國基礎設施或公司企業。這將導致很多公司企業面臨前所未有的持續性強破壞力網絡攻擊。涉及IS之流恐怖組織的網絡事件已然發生。運營關鍵基礎設施的大型公司固然是恐怖組織的首選攻擊目標,作為供應鏈的小公司也有可能被看做是進入這些大公司的跳板。ISF預測,此類攻擊不僅僅是繼續,甚至會更加深化。這是另一層級的威脅,無關經濟利益或控制,而是出于更加陰險邪惡的目的,可能比網絡罪犯所能干出來的更激進,更加漫長持久。ISF建議:
挑戰風險管理規程,發展新的能力,并用常規情緒規劃強化之,做好應對諸如恐怖組織之類威脅行為人的準備。
審查現有控制,專注于增加彈性。
探索與政府和面臨同樣威脅的公司間的威脅情報合作可能性。
防護能力漸被破壞
現有信息風險管理方法將被各類(通常是非惡意的)行為人侵蝕或破壞。總是有太多的網絡攻擊讓人疲于奔命,但又有其他事在不斷侵蝕我們的風險管理能力。
4. 董事會的不現實期望
在過去,董事會和高管們對安全的價值不太感冒。但如今,情況有所改變。董事會批準了不斷增長的信息安全預算,并希望馬上看到效果。安全被提上了議程表首位,董事會卻依然不理解信息安全的實質性改善是需要時間的——即使公司已經有了正確的技術和恰當的能力。董事會的期望值會快速提升,直至超出了公司信息安全團隊的能力范疇。董事會看待安全的方式與看待其他業務沒什么不同,常常以一種季度化的視角要求在短期內看到大幅進展。但是,很多事,都是需要相當長的時間才能見效的。ISF建議:
定期向董事會匯報,為其呈現適合其風險胃口的可靠風險視圖。
基于首席信息安全官(CISO)和信息安全團隊的當前和未來能力,調整董事會對安全改進的期望值。
啟動人才計劃,將CISO和信息安全團隊從技術專家轉型為值得信賴的商業伙伴。
向那些已經轉型為可靠商業伙伴的人學習。
5. 被封口的安全漏洞研究員
隨著所有主要產業領域都掀起了軟件代替硬件的風潮,安全研究員發現并公開漏洞以改進安全也成為了常態。但制造商們卻開始以采取法律行動,而不是合作修復漏洞的方式,對這種趨勢進行了回擊。ISF認為,未來兩年內,廠商壓制研究員的趨勢將愈演愈烈,知情不報的漏洞將充斥在各類軟件中,讓客戶徒嘆奈何。
被法律訴訟封口的研究員人數在持續上升。向白帽子黑客提供漏洞獎勵,在自家系統推出之前邀人測試是比較流行的做法。白帽子們得鼓起勇氣來報告漏洞,而且肯定得跟公司高層簽訂某些協議。ISF建議技術買家們堅持要求在采購流程中有更多的透明度,包括查看制造商的漏洞發現策略和外部漏洞測試結果。對制造商而言,則是要考慮給予負責任地揭露漏洞的研究員一定的金錢獎勵。如果必要的話,可以使用中介服務來達到令人滿意的信息披露實踐。
6. 網絡保險安全網已撕開
ISF認為,未來2年里的重大數據泄露,將給提供網絡保險服務并錯估了風險的保險公司造成慘重的經濟損失。他們或許會期望有很多承保人退出市場,設置更嚴格的投保要求,縮減現有承保業務范圍,大幅提高保費,限制簽保感知風險低的產業。已經依賴于網絡風險保險的公司將有可能被觸到痛點。越來越多的保險商會認識到這是一個復雜的領域,制定保險政策的標準精算方法可能并不適用于網絡風險保險。ISF建議:
預先重評估風險管理策略,尤其是經由網絡保險轉變的風險程度。
審查網絡保險策略,查找有沒有潛在的會導致重大損失的例外條款。
政府愈趨干涉
未來2年,世界各國政府會對民眾使用的各種或新或舊的技術產品和服務進行更加密集嚴格的審查。處理個人信息的公司,尤其是大型技術公司,可能會被政府以更加侵入性的方式對待。政府漸漸醒悟到,有些東西他們必須參與進來,甚至會不惜做出某些相當極端的舉動。去年歐盟決意不再承認《安全港協議》就是一例。利用恐怖主義的潛在威脅,推行一些原本絕對不可能被通過的法規也是某些政府的做法。
7. 顛覆性公司挑釁政府
商業戰略激進,乃至能夠顛覆所屬行業的公司,比如優步、Airbnb、谷歌,將激起政客和監管者的警覺,促使他們更加仔細地審查新技術對國內的影響。他們將從反競爭行為的審查開始,但最終可能會延伸至對整個技術產業的產品和服務提供商的全面審查。政府對這些技術的感知會很快,甚至可能比他們對社會和政治影響的理解來得更快,也就可能會導致出臺對抗性的、考慮不周的政策,不僅不能激勵經濟增長,也無法增強所轄公民的數據防護。比如說,或許某天,原本全球聯網的云,就變成了各國割據的云,公司企業再也不能全球范圍內自由轉移數據了。ISF建議:
了解自家產品和服務傾銷地的本地政治生態,避免政治沖突。這對擴張很快而又在總部所在地之外少有實體的公司企業而言尤其是個挑戰。
制訂出清晰的政治影響和參與策略,專注于基于原則的監管體制(與合規清單相對比)。
探索集體影響力的可能性,比如聯合或成立貿易聯盟。
8. 監管割裂云服務
未來2年,監管和立法的改變,將在個人數據的收集、存儲、交換和刪除上增加新的限制。依賴云服務的公司企業將會遭受到特別嚴重的打擊。他們將掙扎在遵從新數據保護和數據本地化合規要求,同時又要如常開展業務的兩難境地之中。2015年10月美歐《安全港協議》廢止之后,數據存儲地點將成為亟待解決的問題。歐盟新頒布的《通用數據保護規定》,也將在一大堆合規要求和違規重罰的支持下,把局面弄得更加復雜。監管者希望看到公司企業都能負起責任來。但是監管者又能否看到即使采取了所有可能的手段還是發生了數據泄露事件的情況呢?無論如何,我們使用云的方式都會受到監管改變的影響。ISF建議:
理解當前和提案中的法律法規將會在更強的數據保護呼聲下發生怎樣的變化。
采取主動,準備好應對監管情緒轉變領域的改變。
9. 國際監管下的網絡犯罪能力大幅提升
網絡罪犯技術能力見長,已達能跟政府和其他機構抗衡的地步。未來2年,他們的能力或許會遠超受害者。這將削減當前保護公司企業的控制機制的能力。公司企業會轉向執法機構和政府尋求幫助,但通常攻擊別國受害者的網絡罪犯們,將繼續利用能力差異很大的各國執法機構在跨國合作上的空白來逃避起訴。公司企業將遭受更多更具破壞性的攻擊,也將減少向政府的求援。罪犯都不傻,他們很清楚多國警務合作根本沒有延續性一致性。犯罪發生地與犯罪執行人之間的直接聯系未必會被你掌握。從司法角度來看,這是相當大的一個挑戰。ISF建議:
短期內,跟上網絡犯罪的進化,部署合適的控制機制和健壯的彈性的系統。
中期來看,打造威脅情報能力,以便風險評估能定期進行,盡可能地掌握威脅情況。
長期看,主動影響各國政府,敦促政府合作,建立能夠有效對抗網絡犯罪的國際法律框架。
京公網安備 11010502049343號