也許很多朋友將2017年視為數(shù)據(jù)泄露領(lǐng)域的恐怖一年--不過別著急，真正的"驚喜"也許將出現(xiàn)在2018年。信息安全論壇（簡稱ISF）是一個專注于網(wǎng)絡(luò)安全與信息風(fēng)險管理工作的全球性獨(dú)立信息安全機(jī)構(gòu)，負(fù)責(zé)預(yù)測可能增加數(shù)據(jù)泄露事件的影響因素與事件具體數(shù)量。而面對2018年，該機(jī)構(gòu)提出了五大全球范圍內(nèi)最值得關(guān)注的安全威脅因素。

ISF董事總經(jīng)理Steve Durbin解釋稱，"信息安全威脅的影響范圍與速度正在給當(dāng)今最為可靠的組織的真實性與聲譽(yù)造成危害。在2018年，威脅情況還將日益復(fù)雜。具體來講，威脅活動將根據(jù)目標(biāo)的薄弱環(huán)節(jié)進(jìn)行個性化設(shè)計，或者根據(jù)已經(jīng)實施的防御措施進(jìn)行變形?？偨Y(jié)而言，未來網(wǎng)絡(luò)威脅的危害程度將超過以往任何時候。"

Durbin指出，隨著數(shù)據(jù)泄露事故數(shù)量的增長，泄露記錄量亦將不斷提升。正因為如此，對各類規(guī)模的企業(yè)而言，攻擊活動所帶來的經(jīng)濟(jì)損失將更為可觀。Durbin強(qiáng)調(diào)稱，在網(wǎng)絡(luò)清理與客戶通知等傳統(tǒng)領(lǐng)域，將會有一些解決方案能夠抵消部分此類成本; 但新的攻擊特性將帶來其它額外成本--例如涉及越來越多訴訟活動。ISF預(yù)測稱，憤怒的客戶將迫使政府采取更為嚴(yán)格的數(shù)據(jù)保護(hù)立法，而這自然會給企業(yè)帶來新的成本。

根據(jù)ISF方面的報告，推動這一趨勢的將是以下五大2018年全球性安全威脅因素：

· 犯罪即服務(wù)（簡稱CaaS）將擴(kuò)展現(xiàn)有工具與服務(wù)。

· 物聯(lián)網(wǎng)將進(jìn)一步增加管理外風(fēng)險。

· 供應(yīng)鏈將繼續(xù)成為風(fēng)險管理領(lǐng)域中的最弱一環(huán)。

· 監(jiān)管要求會增加關(guān)鍵資產(chǎn)管理工作的復(fù)雜性。

· 重大安全事故處理工作無法達(dá)到董事會預(yù)期。

犯罪即服務(wù)

去年，ISF預(yù)計CaaS將會迎來新的飛躍，各犯罪集團(tuán)將進(jìn)一步發(fā)展出與大型私營企業(yè)類似的復(fù)雜層級、伙伴關(guān)系與合作網(wǎng)絡(luò)。

Durbin表示，這一預(yù)測確實擁有理論依據(jù)，因為2017年"網(wǎng)絡(luò)犯罪，特別是犯罪即服務(wù)"類活動呈現(xiàn)大幅升溫之勢。ISF預(yù)測，這一態(tài)勢將在2018年繼續(xù)。而各犯罪組織將進(jìn)一步以多樣化方式進(jìn)入新的市場領(lǐng)域，并在全球范圍內(nèi)實現(xiàn)犯罪活動商品化。ISF方面指出，一部分犯罪組織將植根于現(xiàn)有犯罪結(jié)構(gòu)，而其它一些組織將專注于實施網(wǎng)絡(luò)犯罪行為。

至于明年的主要區(qū)別所在？Durbin表示，在2018年，CaaS將允許不具備太多技術(shù)知識的"主觀網(wǎng)絡(luò)犯罪分子"購買工具與服務(wù)，使其能夠?qū)嵤┰緹o法進(jìn)行的攻擊活動。

他同時補(bǔ)充稱，"網(wǎng)絡(luò)犯罪已經(jīng)逐步脫離對大型蜜罐--知識產(chǎn)權(quán)與大型銀行--的單純針對。"

在加密勒索軟件方面，作為目前最為流行的惡意軟件類別，以往網(wǎng)絡(luò)犯罪分子主要依賴于一種不正當(dāng)?shù)男湃涡问绞褂美账鬈浖?-鎖定受害者的計算機(jī)，要求對方支付金錢進(jìn)行贖回，而犯罪分子隨后解鎖對方計算機(jī)。但Durbin指出，這一領(lǐng)域中網(wǎng)絡(luò)犯罪分子們的"信任"體系正在崩潰。具體來講，即使支付贖金，受害者們也仍可能無法得到解鎖其資產(chǎn)的密鑰，或者擔(dān)心網(wǎng)絡(luò)犯罪分子再次卷土重來。

與此同時，Durbin表示網(wǎng)絡(luò)犯罪分子在使用社交工程技術(shù)時正變得愈發(fā)老練。雖然目標(biāo)一般指向個人而非企業(yè)，但這種攻擊仍會對企業(yè)造成嚴(yán)重威脅。

他指出，"對我來說，企業(yè)與個人之間的界線越來越模糊。個人開始更多被作為企業(yè)進(jìn)行針對。"

物聯(lián)網(wǎng)

各類組織機(jī)構(gòu)越來越多地使用物聯(lián)網(wǎng)設(shè)備，但大多數(shù)此類設(shè)備在設(shè)計層面的安全性并不可靠。此外，ISF警告稱，快速發(fā)展的物聯(lián)網(wǎng)生態(tài)系統(tǒng)將越來越缺乏透明度。模糊的條款與條件允許組織機(jī)構(gòu)以客戶并不愿接受的方式使用其個人數(shù)據(jù)。在企業(yè)方面，各類組織能夠了解到哪些信息正在離開其網(wǎng)絡(luò)，或者哪些數(shù)據(jù)正在被智能手機(jī)及智能電視等設(shè)備悄悄獲取及傳輸--而這無疑構(gòu)成了新的問題。

一旦發(fā)生數(shù)據(jù)泄露事件，或者發(fā)生透明度違規(guī)狀況，各類組織很可能被監(jiān)管機(jī)構(gòu)及客戶追究責(zé)任。而在最糟糕的情況下，工業(yè)控制系統(tǒng)中嵌入的物聯(lián)網(wǎng)設(shè)備很可能因安全事故而導(dǎo)致人身傷害甚至死亡。

Durbin指出，"從制造商的角度來看，了解使用模式并了解個人用戶顯然非常重要。但總體來講，新的技術(shù)載體確實帶來了遠(yuǎn)超以往的威脅因素。"

Durbin同時補(bǔ)充稱，"我們該如何保護(hù)物聯(lián)網(wǎng)設(shè)備，從而切實保證對其擁有控制能力？在這一領(lǐng)域，未來將會出現(xiàn)更為可靠的安全態(tài)勢感知解決方案。"

供應(yīng)鏈

ISF多年來一直在強(qiáng)調(diào)供應(yīng)鏈脆弱性問題。正如該組織所言，各方通常會與供應(yīng)商共享多種有價值的敏感信息。而在進(jìn)行信息共享時，相關(guān)直接控制能力即徹底失效。這意味著此類共享活動會增加信息機(jī)密性、完整性或可用性遭受破壞的風(fēng)險。

Durbin指出，"去年，我們開始看到眾多大型制造企業(yè)因為供應(yīng)鏈?zhǔn)艿接绊懚ブ圃炷芰Α?quot;

他補(bǔ)充稱，"大家具體所處的行業(yè)并不重要，各個行業(yè)皆擁有自己的供應(yīng)鏈。我們的面臨的挑戰(zhàn)在于，我們該如何真正了解自己的信息處于生命周期中的哪個階段？我們又該如何在進(jìn)行信息共享時保護(hù)其完整性？"

到2018年，各類組織機(jī)構(gòu)將需要關(guān)注供應(yīng)鏈中最為薄弱的環(huán)節(jié)。盡管我們不可能提前阻止每一項安全違規(guī)問題，但大家應(yīng)與供應(yīng)商積極配合。Durbin建議采用強(qiáng)大、可擴(kuò)展且可重復(fù)的流程，從而保證保護(hù)措施與所面臨的風(fēng)險成正比。各類組織機(jī)構(gòu)必須在現(xiàn)有采購與供應(yīng)商管理流程當(dāng)中，引入供應(yīng)鏈信息風(fēng)險管理方案。

監(jiān)管要求

監(jiān)管要求將進(jìn)一步增加企業(yè)運(yùn)營的復(fù)雜性。歐盟通用數(shù)據(jù)保護(hù)條例（簡稱GDPR）將于2018年年初上線，這將為關(guān)鍵資產(chǎn)管理工作增加新的復(fù)雜性因素。

Durbin指出，"事實上，通過與相關(guān)各方的溝通，我發(fā)現(xiàn)GDPR的影響幾乎無處不在。這絕不僅僅是一項合規(guī)性法案，同時亦要求大家確保在任何時候都能夠在企業(yè)與供應(yīng)鏈體系當(dāng)中指向個人數(shù)據(jù)、了解如何管理并保護(hù)個人數(shù)據(jù)，同時必須能夠隨時立足個人角度--而非監(jiān)管方--證明這種保護(hù)能力。"

他補(bǔ)充稱，"我們我們真的要正確實現(xiàn)這一要求，則將不得不改變自身業(yè)務(wù)的原本運(yùn)作方式。"

ISF方面指出，滿足GDPR要求所帶來的額外資源消耗很可能提升合規(guī)性與數(shù)據(jù)管理成本，同時迫使企業(yè)將更多精力與投資集中到這方面工作身上。

未達(dá)到董事會預(yù)期

根據(jù)ISF方面的說法，董事會的期望與企業(yè)信息安全職能實現(xiàn)能力之間的差距將在新的一年中構(gòu)成新的威脅。

Durbin指出，"董事會通常能夠理解自身業(yè)務(wù)是在網(wǎng)絡(luò)空間中進(jìn)行運(yùn)作的。但在多數(shù)情況下，董事會并不了解安全問題的全部含義。他們認(rèn)為CISO應(yīng)對一切擁有掌控能力。事實上，董事會并不了解如何提出正確的問題，而CISO也不知道該如何與董事會或業(yè)務(wù)領(lǐng)導(dǎo)者進(jìn)行協(xié)商。"

ISF方面表示，董事會認(rèn)為過去幾年來持續(xù)提升信息安全預(yù)算的作法應(yīng)該使得CISO與信息安全部門能夠立即獲得成果。然而，建立完全安全的業(yè)務(wù)運(yùn)營體系本身是一個不可能實現(xiàn)的目標(biāo)。即使明白這一點(diǎn)，董事會的大多數(shù)成員仍然不理解即使是在企業(yè)本身擁有正確的技能與能力的前提下，對信息安全作出實質(zhì)性改進(jìn)仍然需要大量時間。

這種錯位意味著，當(dāng)發(fā)生重大事件時，不僅企業(yè)本身將受到影響，董事會成員的個人及集體聲譽(yù)也可能受到嚴(yán)重?fù)p害。

Durbin表示，正因為如此，CISO的角色必須迎來變革。

他總結(jié)道，"CISO的角色如今負(fù)責(zé)預(yù)測未來威脅態(tài)勢，而非確保原有防火墻能夠繼續(xù)維持。大家必須預(yù)測未來可能出現(xiàn)的威脅并考慮其會對業(yè)務(wù)造成哪些影響，而后將結(jié)論清晰表達(dá)給董事會成員。一位優(yōu)秀的CISO應(yīng)當(dāng)是一名卓越的銷售人員與一位顧問。如果無法兼得，即雖然身為一名出色的顧問，但大家無法將自己的觀點(diǎn)傳遞給對方并獲取認(rèn)同，那么董事會將繼續(xù)作為干擾性因素存在。"