上接
未來(lái)兩年內(nèi)的九大信息安全威脅(二)
D1net觀察:我們?nèi)粘R蕾嚨幕ヂ?lián)網(wǎng)可靠嗎,哪些攻擊可以造成互聯(lián)網(wǎng)的中斷,預(yù)防互聯(lián)網(wǎng)中斷可以采取哪些措施?企業(yè)如何面對(duì)物聯(lián)網(wǎng)設(shè)備遭受到勒索軟件的劫持?企業(yè)以為自己的數(shù)據(jù)很安全,但是如果和數(shù)據(jù)安全相關(guān)或者和企業(yè)關(guān)鍵信息相關(guān)的員工遭受暴力威脅,怎么辦?企業(yè)往往會(huì)根據(jù)掌握的信息制定公司戰(zhàn)略和做出決策,但是,企業(yè)掌握的信息可靠嗎?人工智能如火如荼,但是人工智能也可以被攻擊者利用,那么如何防止攻擊者利用人工智能傳播企業(yè)的虛假消息?據(jù)預(yù)測(cè),到2019年,65%的全球頂級(jí)銀行將大規(guī)模地實(shí)施區(qū)塊鏈技術(shù),但是如果區(qū)塊鏈遭到破壞,可能導(dǎo)致未經(jīng)授權(quán)進(jìn)行交易或數(shù)據(jù)泄露、資金轉(zhuǎn)移,欺詐甚至驗(yàn)證欺詐交易,那么,如何避免這種情況的發(fā)生?……國(guó)際上的知名信息安全組織“信息安全論壇”經(jīng)過(guò)研究和分析,發(fā)布了關(guān)于上述問(wèn)題的研究報(bào)告,讓我們來(lái)了解一下,做到心中有數(shù)。
主題3:法規(guī)和技術(shù)將削弱組織機(jī)構(gòu)控制能力,從而導(dǎo)致安全狀況惡化
在接下來(lái)的兩年中,信息安全論壇(ISF)認(rèn)為,智能技術(shù)的快速發(fā)展以及國(guó)家安全和個(gè)人隱私保護(hù)不斷提高所引起的矛盾,將會(huì)削弱組織機(jī)構(gòu)來(lái)控制他們個(gè)人信息的能力。
杜賓說(shuō),旨在提高國(guó)家安全的新監(jiān)管法將要求通信提供商來(lái)大量收集可能泄露企業(yè)秘密的數(shù)據(jù)。組織機(jī)構(gòu)將無(wú)法明確了解這些數(shù)據(jù)庫(kù)的安全措施,并且這些數(shù)據(jù)庫(kù)可能成為攻擊者的理想目標(biāo),這些攻擊者具備從數(shù)據(jù)庫(kù)中提取和利用這些存儲(chǔ)數(shù)據(jù)的知識(shí)和技能。
與此同時(shí),杜賓表示,類似于歐盟“一般數(shù)據(jù)保護(hù)條例(GDPR)”,這些新的數(shù)據(jù)隱私法規(guī)將使組織機(jī)構(gòu)更難監(jiān)測(cè)內(nèi)部員工的行為。“一般數(shù)據(jù)保護(hù)條例(GDPR)”要求組織機(jī)構(gòu)公開(kāi)用于監(jiān)控用戶行為所使用的工具,杜賓表示,這將為惡意的內(nèi)部員工提供繞過(guò)此類控制措施所需的信息。
同時(shí),技術(shù)創(chuàng)新將繼續(xù)超越這些規(guī)定。杜賓表示,自動(dòng)化系統(tǒng)中越來(lái)越成熟的人工智能(AI)將開(kāi)始做出獨(dú)立決策,這些決策將會(huì)與已明確的業(yè)務(wù)規(guī)則相抵觸,破壞業(yè)務(wù)操作并產(chǎn)生新的安全漏洞。
盡管許多因素將超出您組織機(jī)構(gòu)的直接控制范圍,但杜賓表示,業(yè)務(wù)主管和安全主管可以通過(guò)以下措施來(lái)應(yīng)對(duì)這些安全威脅,包括周全的風(fēng)險(xiǎn)評(píng)估,與通信提供商的開(kāi)誠(chéng)布公地協(xié)商,通過(guò)法律顧問(wèn)了解新法規(guī)的影響,并組建團(tuán)隊(duì)采用先進(jìn)技術(shù)。
監(jiān)督法將泄露企業(yè)秘密
一些國(guó)家政府已經(jīng)開(kāi)始制定監(jiān)控法案,要求通信提供商收集和存儲(chǔ)電子及語(yǔ)音通信相關(guān)的數(shù)據(jù)。信息安全論壇(ISF)預(yù)計(jì)未來(lái)兩年這一趨勢(shì)將會(huì)持續(xù)。
這一立法的目的可能是調(diào)查和監(jiān)測(cè)恐怖分子和其他類似團(tuán)體,但這種數(shù)據(jù)采集必然會(huì)收集到更多的信息,包括各組織機(jī)構(gòu)的敏感數(shù)據(jù)。
信息安全論壇(ISF)注意到,動(dòng)機(jī)明確的攻擊者將很快認(rèn)識(shí)到這些數(shù)據(jù)的價(jià)值,并清楚這些數(shù)據(jù)在哪里以及如何得到它,還能夠分析、解讀和利用這些數(shù)據(jù)。這些信息可能會(huì)泄露企業(yè)的并購(gòu)計(jì)劃、正在研發(fā)的知識(shí)產(chǎn)權(quán)以及新產(chǎn)品的細(xì)節(jié)。
信息安全論壇(ISF)認(rèn)為,綜合以下五個(gè)因素考慮,從通信提供商竊取含有企業(yè)秘密的數(shù)據(jù),這只是一個(gè)時(shí)間問(wèn)題,而并不是能否發(fā)生的問(wèn)題:
1. 因?yàn)檫@是法律的規(guī)定,所以任何組織機(jī)構(gòu)都無(wú)法避免他們的數(shù)據(jù)將被收集。
2. 這些數(shù)據(jù)可能由多個(gè)外部單位管理,存儲(chǔ)在多個(gè)位置,每個(gè)單位應(yīng)用不同的安全級(jí)別。
3. 全球數(shù)據(jù)泄露的數(shù)量及影響日益增加,這表明數(shù)據(jù)并未得到充分保護(hù)。
4. 試圖利用這些數(shù)據(jù)的攻擊者可能比負(fù)責(zé)保護(hù)這些數(shù)據(jù)的人有更多資金和動(dòng)力。
5. 數(shù)據(jù)分析產(chǎn)生的潛在價(jià)值將使其成為攻擊者的明確目標(biāo),這些攻擊者實(shí)力雄厚、技術(shù)精湛、目的明確,其中包括有組織犯罪集團(tuán)、競(jìng)爭(zhēng)對(duì)手、恐怖組織和其他國(guó)家。
為保護(hù)您的組織機(jī)構(gòu)免受侵害,信息安全論壇(ISF)建議您采取以下措施:
• 在您機(jī)構(gòu)運(yùn)營(yíng)的每個(gè)司法管轄區(qū),都要聽(tīng)取來(lái)自通信提供商就必須合法存儲(chǔ)元數(shù)據(jù)的建議。
• 在您的組織機(jī)構(gòu)內(nèi)進(jìn)行協(xié)作,進(jìn)行風(fēng)險(xiǎn)評(píng)估,以清楚因通信提供商丟失元數(shù)據(jù)所產(chǎn)生的影響。
• 與通信提供商溝通,以達(dá)成相應(yīng)承擔(dān)的責(zé)任,并確定元數(shù)據(jù)安全存儲(chǔ)的最低要求。
• 如果數(shù)據(jù)遭到破壞,與通信提供商明確以何種方式、何時(shí)以及是否需要通知您,并共同合作,以減少由此產(chǎn)生的影響。
隱私條例會(huì)阻礙對(duì)來(lái)自內(nèi)部威脅的監(jiān)控
根據(jù)邁克菲軟件公司(McAfee)在2015年發(fā)布的一項(xiàng)研究,該年度43%的數(shù)據(jù)泄露是由內(nèi)部人員造成的,包括用戶、管理者、信息技術(shù)(IT)專業(yè)人員和承包商。那么,用戶行為分析(UBA)工具(用來(lái)標(biāo)記用戶異常行為的軟件)變得越來(lái)越受歡迎,就不足為奇:市場(chǎng)研究機(jī)構(gòu)MarketAndMarkets Research的2016年報(bào)告預(yù)測(cè),用戶行為分析(UBA)工具的銷(xiāo)售額將增長(zhǎng)近600%,從2016年的1.317億美元到2021年達(dá)到9.083億美元。
但信息安全論壇(ISF)表示,新的隱私條例(如“一般數(shù)據(jù)保護(hù)條例(GDPR)”、“韓國(guó)個(gè)人信息保護(hù)法(PIPA)”、“香港個(gè)人資料(私隱)條例”及“新加坡個(gè)人資料保護(hù)法”等)有可能會(huì)限制使用這些監(jiān)控工具。這些條例規(guī)定雇主使用這些監(jiān)控工具的行為必須受到控制,而且要對(duì)用戶透明。例如,根據(jù)“一般數(shù)據(jù)保護(hù)條例(GDPR)”規(guī)定,除非員工被告知并同意對(duì)其資料進(jìn)行收集分析,否則禁止對(duì)員工進(jìn)行此項(xiàng)操作。杜賓指出,雖然透明和創(chuàng)造信任文化是好的,但這些規(guī)定將使惡意內(nèi)部員工可以逃避用戶行為分析(UBA)工具的監(jiān)控。
為了解決內(nèi)部威脅和清楚新法規(guī)的內(nèi)容,信息安全論壇(ISF)建議您做以下工作:
• 就您組織機(jī)構(gòu)運(yùn)營(yíng)的每個(gè)司法管轄區(qū)內(nèi),了解一些針對(duì)用戶資料分析限制的法律建議。
• 建立嚴(yán)格的工作程序(制定紀(jì)律處分規(guī)則),對(duì)員工監(jiān)控的行為保持透明。
• 讓員工了解內(nèi)部風(fēng)險(xiǎn),并對(duì)他們進(jìn)行培訓(xùn),使其能夠辨別可疑行為。
• 對(duì)內(nèi)部員工的訪問(wèn)權(quán)限進(jìn)行更加規(guī)則和更加嚴(yán)格的審核,確保不同角色有恰當(dāng)?shù)脑L問(wèn)權(quán)限。
急于部署人工智能(AI)會(huì)導(dǎo)致意想不到的后果
人工智能(AI)系統(tǒng)是自動(dòng)化領(lǐng)域的重大創(chuàng)新。自主學(xué)習(xí)的能力將使其能夠在不同領(lǐng)域自動(dòng)完成日益復(fù)雜和非重復(fù)性任務(wù),包括制造業(yè)、營(yíng)銷(xiāo)和咨詢等領(lǐng)域。但是,杜賓指出,雖然人工智能(AI)已不再處于起步階段,但在未來(lái)的兩三年內(nèi),它也只能算進(jìn)入青春期。這使得它容易出錯(cuò):例如,學(xué)習(xí)錯(cuò)誤的或不完整的信息可能得出不準(zhǔn)確的結(jié)論。
當(dāng)一個(gè)組織機(jī)構(gòu)使用人工智能,而其結(jié)果可能影響到該機(jī)構(gòu)的聲譽(yù)或績(jī)效時(shí),人工智能所發(fā)揮的作用可能無(wú)法預(yù)料。舉例如下:
• 引入漏洞風(fēng)險(xiǎn)。人工智能(AI)系統(tǒng)可以與客戶或供應(yīng)商建立起新的關(guān)系,并會(huì)連接到不安全的外部網(wǎng)絡(luò)。
• 命令的錯(cuò)誤解釋。智能助手可能會(huì)獲取錯(cuò)誤的對(duì)話或?qū)χ噶町a(chǎn)生誤解,然后導(dǎo)致執(zhí)行不正確的命令。
為了保護(hù)您的組織機(jī)構(gòu)免受此類威脅,信息安全論壇(ISF)建議您采取以下三個(gè)步驟:
• 在整個(gè)組織機(jī)構(gòu)內(nèi)進(jìn)行協(xié)調(diào)合作,以確定哪些領(lǐng)域?qū)牟渴鹑斯ぶ悄?AI)中獲益,并且何時(shí)會(huì)獲益
• 招聘、培養(yǎng)和留住那些掌握人工智能(AI)系統(tǒng)技能的人才
• 與行業(yè)同仁和學(xué)術(shù)機(jī)構(gòu)合作,開(kāi)發(fā)出部署人工智能(AI)系統(tǒng)的最佳方法
• 更新管理結(jié)構(gòu)以有效地管理人工智能(AI)系統(tǒng)(例如,將網(wǎng)絡(luò)安全納入到設(shè)計(jì)之中;對(duì)人工智能(AI)系統(tǒng)所做的決策進(jìn)行監(jiān)督;如果人工智能(AI)系統(tǒng)發(fā)生嚴(yán)重事故,確??梢允謩?dòng)關(guān)閉系統(tǒng))