明年,5個不同威脅將造成同一效果:安全事件率上升,程度更嚴重。這一結論是上萬名安全專業人士參與的信息安全論壇(ISF)得出的。
這5個主要的網絡安全威脅是:
犯罪即服務的持續進化
不受控的IoT風險
監管復雜性
供應鏈安全
董事會期待值與安全能力的不匹配
犯罪即服務影響的增長,是最大的擔憂,這是有組織網絡犯罪越來越專業化的結果。事實上,犯罪即服務已臻成熟,犯罪組織為初級罪犯提供了唾手可得的渠道。明年我們將看到攻擊變得更加復雜和有針對性。其中一個問題是,網絡罪犯變得精于共享信息,可以做一些“好人”不太擅長的事情,比如情報共享。
網絡犯罪就是個巨大的傘式組織。其下覆蓋著運作精良的大型網絡犯罪團伙——有組織犯罪,也就是持續招募擴張,樂于售賣產品及服務給其他人的那類。至于說罪犯更精于溝通,這與良好的企業運營類似:他們有市場營銷計劃;有外展方案;還有圍繞作為犯罪即服務的一部分所提供服務的一些溝通。他們的方法和漏洞利用程序不會共享到讓競爭者可以使用的程度,但他們會作為推廣而共享。在更高級的層次,網絡犯罪運營特別像是專業的公司。
有些源自東歐國家的有組織犯罪團伙堪稱“巨大”,并輔以很多較小的精干組織,而且更為認上擔心的是,依托犯罪即服務而涌入網絡犯罪世界的那些無組織的跟風者。這些人破壞并惡化了已被接受的現狀,比如勒索軟件。
以前網絡罪犯只對用勒索軟件賺錢感興趣,罪犯會釋放某種惡意軟件到系統中,讓受害者無法訪問需要的信息,這樣他們就能收到一定數量的贖金。這便足以讓罪犯獲得收益,但還不至于到受害者不愿意支付,或支付不起的程度。
但如今我們看到的,是不遵守這些規則的勒索元素。比如,贖金支付了都不交出解密密鑰;而這就是讓人擔憂的地方——因為游戲規則被改變了。簡言之,網絡犯罪通過犯罪即服務走上商品化道路,引來了無政府狀態,讓防御者難以計劃應對,讓有組織犯罪難以維持其有組織性。
第2個威脅是物聯網(IoT),有2個主要方面令人擔憂。首先,家用設備不安全,默認口令總是沒修改,而且人們慣于將工作帶回家。但關鍵基礎設施中的IoT才是真正的痛點。如果從一張白紙開始,規定和立法會有作用,但事實并非如此。制造業多年以前就開始安裝各種嵌入式設備了。那個時候,制造企業壓根兒不覺得安全是個問題,各公司也對自己使用的全部設備有清晰完整的可見性。
比如說,一家福布斯全球2000強公司,關停自家工廠過程中就出了事。某些機器突然又開動了——因為有些IoT設備接入了互聯網,而他們完全沒注意到。該公司忘記了這部分自己擁有的IoT,而這些IoT設備是可以自主重啟機器的。
第3個新興威脅,是監管的愈趨繁重和復雜。雖然是用來改善安全的,但也有將注意力和資源從重要安全項目上拉走的可能性。《通用數據保護條例》(GDPR),就是要求繁復且利益相關者對之缺乏了解的典型案例。但GDPR絕不是即將付諸實施的唯一一項新監管條例,而合規責任的不斷增加,以及各國立法差異,會加大跨國公司和國際貿易企業的負擔。
第4及第5個新興威脅——供應鏈及董事會期待值與安全能力的不匹配,是個一體兩面的問題。雖然高級管理層越來越重視安全,也為公司安全負起更多責任,但依然不了解其安全團隊在干什么,甚或有沒有能力來維護公司安全。第三方相關公司、第四方、第五方等等(也就是供應鏈),也會發生這種情況。但如果說董事會并不真正了解其自身安全能力,那他們對供應鏈安全的理解只能說是更少得可憐了。這就是商業數字化過程中快速增大的一個威脅界面。
解決方案只能來自于將安全烙印到公司的整體風氣中,讓安全團隊成為一個整體理念,而不是與己無關的獨立部門。有些前矚性的專家常談到,未來不再專設安全人員的那一天,也就是公司強烈意識到安全的不可或缺,安全已完全融入到企業功能中的那一天。安全必須從一開始就內嵌到企業中,目前我們距之甚遠,但CISO面臨的挑戰已近在眼前,他們需要溝通,需要受到公司的重視。
恐怕只有到了公司設計中融入安全成為現實的那一天,ISF列出的全部五大新興威脅,才會被納入某種程度的控制之下。同時,安全事件將會繼續增多,安全狀況也只會越來越糟。
京公網安備 11010502049343號