也許很多朋友將2017年視為數據泄露領域的恐怖一年--不過別著急，真正的"驚喜"也許將出現在2018年。信息安全論壇（簡稱ISF）是一個專注于網絡安全與信息風險管理工作的全球性獨立信息安全機構，負責預測可能增加數據泄露事件的影響因素與事件具體數量。而面對2018年，該機構提出了五大全球范圍內最值得關注的安全威脅因素。

ISF董事總經理Steve Durbin解釋稱，"信息安全威脅的影響范圍與速度正在給當今最為可靠的組織的真實性與聲譽造成危害。在2018年，威脅情況還將日益復雜。具體來講，威脅活動將根據目標的薄弱環節進行個性化設計，或者根據已經實施的防御措施進行變形。總結而言，未來網絡威脅的危害程度將超過以往任何時候。"

Durbin指出，隨著數據泄露事故數量的增長，泄露記錄量亦將不斷提升。正因為如此，對各類規模的企業而言，攻擊活動所帶來的經濟損失將更為可觀。Durbin強調稱，在網絡清理與客戶通知等傳統領域，將會有一些解決方案能夠抵消部分此類成本; 但新的攻擊特性將帶來其它額外成本--例如涉及越來越多訴訟活動。ISF預測稱，憤怒的客戶將迫使政府采取更為嚴格的數據保護立法，而這自然會給企業帶來新的成本。

根據ISF方面的報告，推動這一趨勢的將是以下五大2018年全球性安全威脅因素：

· 犯罪即服務（簡稱CaaS）將擴展現有工具與服務。

· 物聯網將進一步增加管理外風險。

· 供應鏈將繼續成為風險管理領域中的最弱一環。

· 監管要求會增加關鍵資產管理工作的復雜性。

· 重大安全事故處理工作無法達到董事會預期。

犯罪即服務

去年，ISF預計CaaS將會迎來新的飛躍，各犯罪集團將進一步發展出與大型私營企業類似的復雜層級、伙伴關系與合作網絡。

Durbin表示，這一預測確實擁有理論依據，因為2017年"網絡犯罪，特別是犯罪即服務"類活動呈現大幅升溫之勢。ISF預測，這一態勢將在2018年繼續。而各犯罪組織將進一步以多樣化方式進入新的市場領域，并在全球范圍內實現犯罪活動商品化。ISF方面指出，一部分犯罪組織將植根于現有犯罪結構，而其它一些組織將專注于實施網絡犯罪行為。

至于明年的主要區別所在？Durbin表示，在2018年，CaaS將允許不具備太多技術知識的"主觀網絡犯罪分子"購買工具與服務，使其能夠實施原本無法進行的攻擊活動。

他同時補充稱，"網絡犯罪已經逐步脫離對大型蜜罐--知識產權與大型銀行--的單純針對。"

在加密勒索軟件方面，作為目前最為流行的惡意軟件類別，以往網絡犯罪分子主要依賴于一種不正當的信任形式使用勒索軟件--鎖定受害者的計算機，要求對方支付金錢進行贖回，而犯罪分子隨后解鎖對方計算機。但Durbin指出，這一領域中網絡犯罪分子們的"信任"體系正在崩潰。具體來講，即使支付贖金，受害者們也仍可能無法得到解鎖其資產的密鑰，或者擔心網絡犯罪分子再次卷土重來。

與此同時，Durbin表示網絡犯罪分子在使用社交工程技術時正變得愈發老練。雖然目標一般指向個人而非企業，但這種攻擊仍會對企業造成嚴重威脅。

他指出，"對我來說，企業與個人之間的界線越來越模糊。個人開始更多被作為企業進行針對。"

物聯網

各類組織機構越來越多地使用物聯網設備，但大多數此類設備在設計層面的安全性并不可靠。此外，ISF警告稱，快速發展的物聯網生態系統將越來越缺乏透明度。模糊的條款與條件允許組織機構以客戶并不愿接受的方式使用其個人數據。在企業方面，各類組織能夠了解到哪些信息正在離開其網絡，或者哪些數據正在被智能手機及智能電視等設備悄悄獲取及傳輸--而這無疑構成了新的問題。

一旦發生數據泄露事件，或者發生透明度違規狀況，各類組織很可能被監管機構及客戶追究責任。而在最糟糕的情況下，工業控制系統中嵌入的物聯網設備很可能因安全事故而導致人身傷害甚至死亡。

Durbin指出，"從制造商的角度來看，了解使用模式并了解個人用戶顯然非常重要。但總體來講，新的技術載體確實帶來了遠超以往的威脅因素。"

Durbin同時補充稱，"我們該如何保護物聯網設備，從而切實保證對其擁有控制能力？在這一領域，未來將會出現更為可靠的安全態勢感知解決方案。"

供應鏈

ISF多年來一直在強調供應鏈脆弱性問題。正如該組織所言，各方通常會與供應商共享多種有價值的敏感信息。而在進行信息共享時，相關直接控制能力即徹底失效。這意味著此類共享活動會增加信息機密性、完整性或可用性遭受破壞的風險。

Durbin指出，"去年，我們開始看到眾多大型制造企業因為供應鏈受到影響而失去制造能力。"

他補充稱，"大家具體所處的行業并不重要，各個行業皆擁有自己的供應鏈。我們的面臨的挑戰在于，我們該如何真正了解自己的信息處于生命周期中的哪個階段？我們又該如何在進行信息共享時保護其完整性？"

到2018年，各類組織機構將需要關注供應鏈中最為薄弱的環節。盡管我們不可能提前阻止每一項安全違規問題，但大家應與供應商積極配合。Durbin建議采用強大、可擴展且可重復的流程，從而保證保護措施與所面臨的風險成正比。各類組織機構必須在現有采購與供應商管理流程當中，引入供應鏈信息風險管理方案。

監管要求

監管要求將進一步增加企業運營的復雜性。歐盟通用數據保護條例（簡稱GDPR）將于2018年年初上線，這將為關鍵資產管理工作增加新的復雜性因素。

Durbin指出，"事實上，通過與相關各方的溝通，我發現GDPR的影響幾乎無處不在。這絕不僅僅是一項合規性法案，同時亦要求大家確保在任何時候都能夠在企業與供應鏈體系當中指向個人數據、了解如何管理并保護個人數據，同時必須能夠隨時立足個人角度--而非監管方--證明這種保護能力。"

他補充稱，"我們我們真的要正確實現這一要求，則將不得不改變自身業務的原本運作方式。"

ISF方面指出，滿足GDPR要求所帶來的額外資源消耗很可能提升合規性與數據管理成本，同時迫使企業將更多精力與投資集中到這方面工作身上。

未達到董事會預期

根據ISF方面的說法，董事會的期望與企業信息安全職能實現能力之間的差距將在新的一年中構成新的威脅。

Durbin指出，"董事會通常能夠理解自身業務是在網絡空間中進行運作的。但在多數情況下，董事會并不了解安全問題的全部含義。他們認為CISO應對一切擁有掌控能力。事實上，董事會并不了解如何提出正確的問題，而CISO也不知道該如何與董事會或業務領導者進行協商。"

ISF方面表示，董事會認為過去幾年來持續提升信息安全預算的作法應該使得CISO與信息安全部門能夠立即獲得成果。然而，建立完全安全的業務運營體系本身是一個不可能實現的目標。即使明白這一點，董事會的大多數成員仍然不理解即使是在企業本身擁有正確的技能與能力的前提下，對信息安全作出實質性改進仍然需要大量時間。

這種錯位意味著，當發生重大事件時，不僅企業本身將受到影響，董事會成員的個人及集體聲譽也可能受到嚴重損害。

Durbin表示，正因為如此，CISO的角色必須迎來變革。

他總結道，"CISO的角色如今負責預測未來威脅態勢，而非確保原有防火墻能夠繼續維持。大家必須預測未來可能出現的威脅并考慮其會對業務造成哪些影響，而后將結論清晰表達給董事會成員。一位優秀的CISO應當是一名卓越的銷售人員與一位顧問。如果無法兼得，即雖然身為一名出色的顧問，但大家無法將自己的觀點傳遞給對方并獲取認同，那么董事會將繼續作為干擾性因素存在。"