未來兩年九大信息安全威脅

責(zé)任編輯:editor006

作者:nana

2016-03-28 14:48:38

摘自:安全牛

在向網(wǎng)絡(luò)中加進(jìn)物聯(lián)網(wǎng)設(shè)備時(shí)應(yīng)用安全規(guī)程,不然就準(zhǔn)備好迎接監(jiān)管罰款和聲譽(yù)損失。ISF建議:挑戰(zhàn)風(fēng)險(xiǎn)管理規(guī)程,發(fā)展新的能力,并用常規(guī)情緒規(guī)劃強(qiáng)化之,做好應(yīng)對諸如恐怖組織之類威脅行為人的準(zhǔn)備。

信息安全威脅態(tài)勢一直處于不斷發(fā)展變化的過程中。每一年,專注安全和風(fēng)險(xiǎn)管理研究的非營利組織“信息安全論壇(ISF)”,都會(huì)發(fā)布《威脅地平線》報(bào)告,提出關(guān)于未來兩年內(nèi)重大安全威脅的前瞻性觀點(diǎn)。此處就為您呈上2016年報(bào)告中指出的未來兩年九大信息安全威脅。

技術(shù)應(yīng)用大幅延伸了威脅涵蓋范圍

現(xiàn)代社會(huì),技術(shù)已成為日常生活中不可或缺的一部分。未來兩年內(nèi),技術(shù)在人們生產(chǎn)生活中所占的比重只會(huì)日趨增長,人們做任何事都會(huì)如此依賴技術(shù)。公司企業(yè)明顯開始認(rèn)識(shí)到,只有最大限度利用這一趨勢才能在現(xiàn)代社會(huì)站穩(wěn)腳跟,逆勢而為是沒有活路的。但隨著公司企業(yè)不斷最大化他們的生產(chǎn)效能,更為擴(kuò)展、復(fù)雜的威脅態(tài)勢也就擺在了他們面前。

1. 物聯(lián)網(wǎng)敏感信息泄露

未來兩年九大信息安全威脅

隨著實(shí)時(shí)數(shù)據(jù)收集的價(jià)值越來越為人所知,物聯(lián)網(wǎng)的快速興起簡直順理成章。無論是優(yōu)化昂貴工業(yè)設(shè)備的正常運(yùn)行時(shí)間、監(jiān)測流量、收集實(shí)時(shí)健康信息,還是很多其他什么應(yīng)用,公司企業(yè)和個(gè)人都在采用物聯(lián)網(wǎng)設(shè)備。但是,用來收集數(shù)據(jù)的設(shè)備未必就是安全的,很有可能給公司企業(yè)開了個(gè)供外人進(jìn)出的后門。物聯(lián)網(wǎng)生態(tài)系統(tǒng)中常見的透明性缺乏,也就是涉及個(gè)人數(shù)據(jù)使用的協(xié)議條款模糊不清等狀況,也會(huì)使公司企業(yè)陷入隱私相關(guān)問題的泥潭中難以自拔。這是公司企業(yè)必須嚴(yán)肅對待的一項(xiàng)特殊挑戰(zhàn)。沒人會(huì)到商店里說"給我拿最安全的設(shè)備",人們通常都選最好看的,或者功能最多的。ISF的信息安全專家們建議:

在向網(wǎng)絡(luò)中加進(jìn)物聯(lián)網(wǎng)設(shè)備時(shí)應(yīng)用安全規(guī)程,不然就準(zhǔn)備好迎接監(jiān)管罰款和聲譽(yù)損失。

在物聯(lián)網(wǎng)部署前先征得數(shù)據(jù)收集許可,不只是哪些信息能被收集,還要考慮哪些信息能被共享,以及可以共享給誰。

確??蛻魯?shù)據(jù)使用的條款是透明清晰且符合合規(guī)要求的。

全盤考慮物聯(lián)網(wǎng)安全,而不是針對設(shè)備個(gè)別處理。

2. 不透明的算法危害完整性

未來兩年九大信息安全威脅

公司企業(yè)越來越多地在關(guān)鍵系統(tǒng)中采用算法來運(yùn)營和做決策,從自動(dòng)泊車到自動(dòng)交易,莫非如是。缺了人的參與,公司企業(yè)對自身系統(tǒng)的運(yùn)作和互動(dòng)機(jī)制也就越來越不了解了。這種透明性的缺乏可能會(huì)帶來嚴(yán)重的安全風(fēng)險(xiǎn),或許有一天算法間的非預(yù)期交互說不定就產(chǎn)生了能導(dǎo)致嚴(yán)重后果的事件呢。此類事件的一個(gè)著名例子,就是2014年10月美國國債的“閃電崩盤”事件。當(dāng)時(shí)那些算法就曾短暫推動(dòng)債券收益率大幅下降。要知道,我們時(shí)不時(shí)的就會(huì)干點(diǎn)蠢事。你得了解自家算法系統(tǒng)的某些弱點(diǎn)。我們的系統(tǒng)越來越多地建立在算法的基礎(chǔ)上——工業(yè)控制、關(guān)鍵基礎(chǔ)設(shè)施等等。這些領(lǐng)域中留待我們解決的風(fēng)險(xiǎn)越來越多,ISF建議:

發(fā)現(xiàn)算法控制系統(tǒng)的暴露點(diǎn),知曉什么情況下需要人的介入,什么情況下是故障安全的。

更新代碼維護(hù)策略。

找到算法相關(guān)事件風(fēng)險(xiǎn)的不同處理方式,尤其是在保險(xiǎn)也承擔(dān)不了的情況下。

保障健壯的業(yè)務(wù)連續(xù)性和彈性規(guī)劃。

3. 流氓政府利用恐怖組織發(fā)動(dòng)網(wǎng)絡(luò)攻擊

未來兩年九大信息安全威脅

流氓政府從經(jīng)濟(jì)、武器和后勤上為恐怖組織提供支持,以便自身可以進(jìn)行秘密行動(dòng)而事后加以推諉。ISF認(rèn)為,未來2年中,這種形式的支持將會(huì)延伸至網(wǎng)絡(luò)攻擊范疇(知識(shí)、培訓(xùn)、軟件和硬件),讓恐怖組織得以攻擊別國基礎(chǔ)設(shè)施或公司企業(yè)。這將導(dǎo)致很多公司企業(yè)面臨前所未有的持續(xù)性強(qiáng)破壞力網(wǎng)絡(luò)攻擊。涉及IS之流恐怖組織的網(wǎng)絡(luò)事件已然發(fā)生。運(yùn)營關(guān)鍵基礎(chǔ)設(shè)施的大型公司固然是恐怖組織的首選攻擊目標(biāo),作為供應(yīng)鏈的小公司也有可能被看做是進(jìn)入這些大公司的跳板。ISF預(yù)測,此類攻擊不僅僅是繼續(xù),甚至?xí)由罨?。這是另一層級的威脅,無關(guān)經(jīng)濟(jì)利益或控制,而是出于更加陰險(xiǎn)邪惡的目的,可能比網(wǎng)絡(luò)罪犯所能干出來的更激進(jìn),更加漫長持久。ISF建議:

挑戰(zhàn)風(fēng)險(xiǎn)管理規(guī)程,發(fā)展新的能力,并用常規(guī)情緒規(guī)劃強(qiáng)化之,做好應(yīng)對諸如恐怖組織之類威脅行為人的準(zhǔn)備。

審查現(xiàn)有控制,專注于增加彈性。

探索與政府和面臨同樣威脅的公司間的威脅情報(bào)合作可能性。

防護(hù)能力漸被破壞

現(xiàn)有信息風(fēng)險(xiǎn)管理方法將被各類(通常是非惡意的)行為人侵蝕或破壞。總是有太多的網(wǎng)絡(luò)攻擊讓人疲于奔命,但又有其他事在不斷侵蝕我們的風(fēng)險(xiǎn)管理能力。

4. 董事會(huì)的不現(xiàn)實(shí)期望

未來兩年九大信息安全威脅

在過去,董事會(huì)和高管們對安全的價(jià)值不太感冒。但如今,情況有所改變。董事會(huì)批準(zhǔn)了不斷增長的信息安全預(yù)算,并希望馬上看到效果。安全被提上了議程表首位,董事會(huì)卻依然不理解信息安全的實(shí)質(zhì)性改善是需要時(shí)間的——即使公司已經(jīng)有了正確的技術(shù)和恰當(dāng)?shù)哪芰?。董事?huì)的期望值會(huì)快速提升,直至超出了公司信息安全團(tuán)隊(duì)的能力范疇。董事會(huì)看待安全的方式與看待其他業(yè)務(wù)沒什么不同,常常以一種季度化的視角要求在短期內(nèi)看到大幅進(jìn)展。但是,很多事,都是需要相當(dāng)長的時(shí)間才能見效的。ISF建議:

定期向董事會(huì)匯報(bào),為其呈現(xiàn)適合其風(fēng)險(xiǎn)胃口的可靠風(fēng)險(xiǎn)視圖。

基于首席信息安全官(CISO)和信息安全團(tuán)隊(duì)的當(dāng)前和未來能力,調(diào)整董事會(huì)對安全改進(jìn)的期望值。

啟動(dòng)人才計(jì)劃,將CISO和信息安全團(tuán)隊(duì)從技術(shù)專家轉(zhuǎn)型為值得信賴的商業(yè)伙伴。

向那些已經(jīng)轉(zhuǎn)型為可靠商業(yè)伙伴的人學(xué)習(xí)。

5. 被封口的安全漏洞研究員

未來兩年九大信息安全威脅

隨著所有主要產(chǎn)業(yè)領(lǐng)域都掀起了軟件代替硬件的風(fēng)潮,安全研究員發(fā)現(xiàn)并公開漏洞以改進(jìn)安全也成為了常態(tài)。但制造商們卻開始以采取法律行動(dòng),而不是合作修復(fù)漏洞的方式,對這種趨勢進(jìn)行了回?fù)?。ISF認(rèn)為,未來兩年內(nèi),廠商壓制研究員的趨勢將愈演愈烈,知情不報(bào)的漏洞將充斥在各類軟件中,讓客戶徒嘆奈何。

被法律訴訟封口的研究員人數(shù)在持續(xù)上升。向白帽子黑客提供漏洞獎(jiǎng)勵(lì),在自家系統(tǒng)推出之前邀人測試是比較流行的做法。白帽子們得鼓起勇氣來報(bào)告漏洞,而且肯定得跟公司高層簽訂某些協(xié)議。ISF建議技術(shù)買家們堅(jiān)持要求在采購流程中有更多的透明度,包括查看制造商的漏洞發(fā)現(xiàn)策略和外部漏洞測試結(jié)果。對制造商而言,則是要考慮給予負(fù)責(zé)任地揭露漏洞的研究員一定的金錢獎(jiǎng)勵(lì)。如果必要的話,可以使用中介服務(wù)來達(dá)到令人滿意的信息披露實(shí)踐。

6. 網(wǎng)絡(luò)保險(xiǎn)安全網(wǎng)已撕開

未來兩年九大信息安全威脅

ISF認(rèn)為,未來2年里的重大數(shù)據(jù)泄露,將給提供網(wǎng)絡(luò)保險(xiǎn)服務(wù)并錯(cuò)估了風(fēng)險(xiǎn)的保險(xiǎn)公司造成慘重的經(jīng)濟(jì)損失。他們或許會(huì)期望有很多承保人退出市場,設(shè)置更嚴(yán)格的投保要求,縮減現(xiàn)有承保業(yè)務(wù)范圍,大幅提高保費(fèi),限制簽保感知風(fēng)險(xiǎn)低的產(chǎn)業(yè)。已經(jīng)依賴于網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)的公司將有可能被觸到痛點(diǎn)。越來越多的保險(xiǎn)商會(huì)認(rèn)識(shí)到這是一個(gè)復(fù)雜的領(lǐng)域,制定保險(xiǎn)政策的標(biāo)準(zhǔn)精算方法可能并不適用于網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)。ISF建議:

預(yù)先重評估風(fēng)險(xiǎn)管理策略,尤其是經(jīng)由網(wǎng)絡(luò)保險(xiǎn)轉(zhuǎn)變的風(fēng)險(xiǎn)程度。

審查網(wǎng)絡(luò)保險(xiǎn)策略,查找有沒有潛在的會(huì)導(dǎo)致重大損失的例外條款。

政府愈趨干涉

未來2年,世界各國政府會(huì)對民眾使用的各種或新或舊的技術(shù)產(chǎn)品和服務(wù)進(jìn)行更加密集嚴(yán)格的審查。處理個(gè)人信息的公司,尤其是大型技術(shù)公司,可能會(huì)被政府以更加侵入性的方式對待。政府漸漸醒悟到,有些東西他們必須參與進(jìn)來,甚至?xí)幌ё龀瞿承┫喈?dāng)極端的舉動(dòng)。去年歐盟決意不再承認(rèn)《安全港協(xié)議》就是一例。利用恐怖主義的潛在威脅,推行一些原本絕對不可能被通過的法規(guī)也是某些政府的做法。

7. 顛覆性公司挑釁政府

未來兩年九大信息安全威脅

商業(yè)戰(zhàn)略激進(jìn),乃至能夠顛覆所屬行業(yè)的公司,比如優(yōu)步、Airbnb、谷歌,將激起政客和監(jiān)管者的警覺,促使他們更加仔細(xì)地審查新技術(shù)對國內(nèi)的影響。他們將從反競爭行為的審查開始,但最終可能會(huì)延伸至對整個(gè)技術(shù)產(chǎn)業(yè)的產(chǎn)品和服務(wù)提供商的全面審查。政府對這些技術(shù)的感知會(huì)很快,甚至可能比他們對社會(huì)和政治影響的理解來得更快,也就可能會(huì)導(dǎo)致出臺(tái)對抗性的、考慮不周的政策,不僅不能激勵(lì)經(jīng)濟(jì)增長,也無法增強(qiáng)所轄公民的數(shù)據(jù)防護(hù)。比如說,或許某天,原本全球聯(lián)網(wǎng)的云,就變成了各國割據(jù)的云,公司企業(yè)再也不能全球范圍內(nèi)自由轉(zhuǎn)移數(shù)據(jù)了。ISF建議:

了解自家產(chǎn)品和服務(wù)傾銷地的本地政治生態(tài),避免政治沖突。這對擴(kuò)張很快而又在總部所在地之外少有實(shí)體的公司企業(yè)而言尤其是個(gè)挑戰(zhàn)。

制訂出清晰的政治影響和參與策略,專注于基于原則的監(jiān)管體制(與合規(guī)清單相對比)。

探索集體影響力的可能性,比如聯(lián)合或成立貿(mào)易聯(lián)盟。

8. 監(jiān)管割裂云服務(wù)

未來兩年九大信息安全威脅

未來2年,監(jiān)管和立法的改變,將在個(gè)人數(shù)據(jù)的收集、存儲(chǔ)、交換和刪除上增加新的限制。依賴云服務(wù)的公司企業(yè)將會(huì)遭受到特別嚴(yán)重的打擊。他們將掙扎在遵從新數(shù)據(jù)保護(hù)和數(shù)據(jù)本地化合規(guī)要求,同時(shí)又要如常開展業(yè)務(wù)的兩難境地之中。2015年10月美歐《安全港協(xié)議》廢止之后,數(shù)據(jù)存儲(chǔ)地點(diǎn)將成為亟待解決的問題。歐盟新頒布的《通用數(shù)據(jù)保護(hù)規(guī)定》,也將在一大堆合規(guī)要求和違規(guī)重罰的支持下,把局面弄得更加復(fù)雜。監(jiān)管者希望看到公司企業(yè)都能負(fù)起責(zé)任來。但是監(jiān)管者又能否看到即使采取了所有可能的手段還是發(fā)生了數(shù)據(jù)泄露事件的情況呢?無論如何,我們使用云的方式都會(huì)受到監(jiān)管改變的影響。ISF建議:

理解當(dāng)前和提案中的法律法規(guī)將會(huì)在更強(qiáng)的數(shù)據(jù)保護(hù)呼聲下發(fā)生怎樣的變化。

采取主動(dòng),準(zhǔn)備好應(yīng)對監(jiān)管情緒轉(zhuǎn)變領(lǐng)域的改變。

9. 國際監(jiān)管下的網(wǎng)絡(luò)犯罪能力大幅提升

未來兩年九大信息安全威脅

網(wǎng)絡(luò)罪犯技術(shù)能力見長,已達(dá)能跟政府和其他機(jī)構(gòu)抗衡的地步。未來2年,他們的能力或許會(huì)遠(yuǎn)超受害者。這將削減當(dāng)前保護(hù)公司企業(yè)的控制機(jī)制的能力。公司企業(yè)會(huì)轉(zhuǎn)向執(zhí)法機(jī)構(gòu)和政府尋求幫助,但通常攻擊別國受害者的網(wǎng)絡(luò)罪犯們,將繼續(xù)利用能力差異很大的各國執(zhí)法機(jī)構(gòu)在跨國合作上的空白來逃避起訴。公司企業(yè)將遭受更多更具破壞性的攻擊,也將減少向政府的求援。罪犯都不傻,他們很清楚多國警務(wù)合作根本沒有延續(xù)性一致性。犯罪發(fā)生地與犯罪執(zhí)行人之間的直接聯(lián)系未必會(huì)被你掌握。從司法角度來看,這是相當(dāng)大的一個(gè)挑戰(zhàn)。ISF建議:

短期內(nèi),跟上網(wǎng)絡(luò)犯罪的進(jìn)化,部署合適的控制機(jī)制和健壯的彈性的系統(tǒng)。

中期來看,打造威脅情報(bào)能力,以便風(fēng)險(xiǎn)評估能定期進(jìn)行,盡可能地掌握威脅情況。

長期看,主動(dòng)影響各國政府,敦促政府合作,建立能夠有效對抗網(wǎng)絡(luò)犯罪的國際法律框架。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號