【中國(guó)安防展覽網(wǎng) 企業(yè)關(guān)注】也許很多朋友將2017年視為數(shù)據(jù)泄露領(lǐng)域的恐怖一年--不過別著急,真正的“驚喜”也許將出現(xiàn)在2018年�����。信息安全論壇(簡(jiǎn)稱ISF)是一個(gè)專注于網(wǎng)絡(luò)安全與信息風(fēng)險(xiǎn)管理工作的性獨(dú)立信息安全機(jī)構(gòu)����,負(fù)責(zé)預(yù)測(cè)可能增加數(shù)據(jù)泄露事件的影響因素與事件具體數(shù)量。而面對(duì)2018年���,該機(jī)構(gòu)提出了五大范圍內(nèi)值得關(guān)注的安全威脅因素�����。
ISF董事總經(jīng)理Steve Durbin解釋稱�,“信息安全威脅的影響范圍與速度正在給當(dāng)今為可靠的組織的真實(shí)性與聲譽(yù)造成危害�。在2018年,威脅情況還將日益復(fù)雜����。具體來講�����,威脅活動(dòng)將根據(jù)目標(biāo)的薄弱環(huán)節(jié)進(jìn)行個(gè)性化設(shè)計(jì)��,或者根據(jù)已經(jīng)實(shí)施的防御措施進(jìn)行變形��??偨Y(jié)而言�,未來網(wǎng)絡(luò)威脅的危害程度將超過以往任何時(shí)候。”
Durbin指出�����,隨著數(shù)據(jù)泄露事故數(shù)量的增長(zhǎng)����,泄露記錄量亦將不斷提升����。正因?yàn)槿绱耍瑢?duì)各類規(guī)模的企業(yè)而言�����,攻擊活動(dòng)所帶來的經(jīng)濟(jì)損失將更為可觀。Durbin強(qiáng)調(diào)稱��,在網(wǎng)絡(luò)清理與客戶通知等傳統(tǒng)領(lǐng)域�����,將會(huì)有一些解決方案能夠抵消部分此類成本�����; 但新的攻擊特性將帶來其它額外成本--例如涉及越來越多訴訟活動(dòng)��。ISF預(yù)測(cè)稱����,憤怒的客戶將迫使政府采取更為嚴(yán)格的數(shù)據(jù)保護(hù)立法,而這自然會(huì)給企業(yè)帶來新的成本�����。
根據(jù)ISF方面的報(bào)告�����,推動(dòng)這一趨勢(shì)的將是以下五大2018年性安全威脅因素:
*即服務(wù)(簡(jiǎn)稱CaaS)將擴(kuò)展現(xiàn)有工具與服務(wù)�。
物聯(lián)網(wǎng)將進(jìn)一步增加管理外風(fēng)險(xiǎn)����。
供應(yīng)鏈將繼續(xù)成為風(fēng)險(xiǎn)管理領(lǐng)域中的弱一環(huán)�。
監(jiān)管要求會(huì)增加關(guān)鍵資產(chǎn)管理工作的復(fù)雜性。
重大安全事故處理工作無法達(dá)到董事會(huì)預(yù)期�����。
*即服務(wù)
去年���,ISF預(yù)計(jì)CaaS將會(huì)迎來新的飛躍���,各*集團(tuán)將進(jìn)一步發(fā)展出與大型私營(yíng)企業(yè)類似的復(fù)雜層級(jí)、伙伴關(guān)系與合作網(wǎng)絡(luò)��。
Durbin表示�,這一預(yù)測(cè)確實(shí)擁有理論依據(jù)�����,因?yàn)?017年“網(wǎng)絡(luò)*����,特別是*即服務(wù)”類活動(dòng)呈現(xiàn)大幅升溫之勢(shì)���。ISF預(yù)測(cè),這一態(tài)勢(shì)將在2018年繼續(xù)���。而各*組織將進(jìn)一步以多樣化方式進(jìn)入新的市場(chǎng)領(lǐng)域�,并在范圍內(nèi)實(shí)現(xiàn)*活動(dòng)商品化����。ISF方面指出,一部分*組織將植根于現(xiàn)有*結(jié)構(gòu)�,而其它一些組織將專注于實(shí)施網(wǎng)絡(luò)*行為。
至于明年的主要區(qū)別所在���?Durbin表示��,在2018年����,CaaS將允許不具備太多技術(shù)知識(shí)的“主觀網(wǎng)絡(luò)*分子”購買工具與服務(wù)���,使其能夠?qū)嵤┰緹o法進(jìn)行的攻擊活動(dòng)�����。
他同時(shí)補(bǔ)充稱�,“網(wǎng)絡(luò)*已經(jīng)逐步脫離對(duì)大型蜜罐--知識(shí)產(chǎn)權(quán)與大型銀行--的單純針對(duì)。”
在加密勒索軟件方面����,作為目前為流行的惡意軟件類別,以往網(wǎng)絡(luò)*分子主要依賴于一種不正當(dāng)?shù)男湃涡问绞褂美账鬈浖?-鎖定受害者的計(jì)算機(jī)�,要求對(duì)方支付金錢進(jìn)行贖回,而*分子隨后解鎖對(duì)方計(jì)算機(jī)����。但Durbin指出,這一領(lǐng)域中網(wǎng)絡(luò)*分子們的“信任”體系正在崩潰���。具體來講��,即使支付贖金�,受害者們也仍可能無法得到解鎖其資產(chǎn)的密鑰����,或者擔(dān)心網(wǎng)絡(luò)*分子再次卷土重來���。
與此同時(shí)�,Durbin表示網(wǎng)絡(luò)*分子在使用社交工程技術(shù)時(shí)正變得愈發(fā)老練。雖然目標(biāo)一般指向個(gè)人而非企業(yè)�,但這種攻擊仍會(huì)對(duì)企業(yè)造成嚴(yán)重威脅。
他指出�����,“對(duì)我來說��,企業(yè)與個(gè)人之間的界線越來越模糊����。個(gè)人開始更多被作為企業(yè)進(jìn)行針對(duì)。”
物聯(lián)網(wǎng)
各類組織機(jī)構(gòu)越來越多地使用物聯(lián)網(wǎng)設(shè)備����,但大多數(shù)此類設(shè)備在設(shè)計(jì)層面的安全性并不可靠。此外�����,ISF警告稱���,快速發(fā)展的物聯(lián)網(wǎng)生態(tài)系統(tǒng)將越來越缺乏透明度�����。模糊的條款與條件允許組織機(jī)構(gòu)以客戶并不愿接受的方式使用其個(gè)人數(shù)據(jù)����。在企業(yè)方面,各類組織能夠了解到哪些信息正在離開其網(wǎng)絡(luò)���,或者哪些數(shù)據(jù)正在被智能手機(jī)及智能電視等設(shè)備悄悄獲取及傳輸--而這無疑構(gòu)成了新的問題�。
一旦發(fā)生數(shù)據(jù)泄露事件��,或者發(fā)生透明度違規(guī)狀況���,各類組織很可能被監(jiān)管機(jī)構(gòu)及客戶追究責(zé)任�����。而在糟糕的情況下�,工業(yè)控制系統(tǒng)中嵌入的物聯(lián)網(wǎng)設(shè)備很可能因安全事故而導(dǎo)致人身傷害甚至死亡�。
Durbin指出,“從制造商的角度來看���,了解使用模式并了解個(gè)人用戶顯然非常重要��。但總體來講�����,新的技術(shù)載體確實(shí)帶來了遠(yuǎn)超以往的威脅因素���。”
Durbin同時(shí)補(bǔ)充稱,“我們?cè)撊绾伪Wo(hù)物聯(lián)網(wǎng)設(shè)備�,從而切實(shí)保證對(duì)其擁有控制能力?在這一領(lǐng)域�,未來將會(huì)出現(xiàn)更為可靠的安全態(tài)勢(shì)感知解決方案。”
供應(yīng)鏈
ISF多年來一直在強(qiáng)調(diào)供應(yīng)鏈脆弱性問題�。正如該組織所言,各方通常會(huì)與供應(yīng)商共享多種有價(jià)值的敏感信息���。而在進(jìn)行信息共享時(shí)�,相關(guān)直接控制能力即徹底失效��。這意味著此類共享活動(dòng)會(huì)增加信息機(jī)密性��、完整性或可用性遭受破壞的風(fēng)險(xiǎn)�。
Durbin指出,“去年�����,我們開始看到眾多大型制造企業(yè)因?yàn)楣?yīng)鏈?zhǔn)艿接绊懚ブ圃炷芰Α?rdquo;
他補(bǔ)充稱,“大家具體所處的行業(yè)并不重要����,各個(gè)行業(yè)皆擁有自己的供應(yīng)鏈。我們的面臨的挑戰(zhàn)在于�,我們?cè)撊绾握嬲私庾约旱男畔⑻幱谏芷谥械哪膫€(gè)階段?我們又該如何在進(jìn)行信息共享時(shí)保護(hù)其完整性��?”
到2018年�����,各類組織機(jī)構(gòu)將需要關(guān)注供應(yīng)鏈中為薄弱的環(huán)節(jié)����。盡管我們不可能提前阻止每一項(xiàng)安全違規(guī)問題,但大家應(yīng)與供應(yīng)商積極配合�。Durbin建議采用強(qiáng)大、可擴(kuò)展且可重復(fù)的流程�,從而保證保護(hù)措施與所面臨的風(fēng)險(xiǎn)成正比。各類組織機(jī)構(gòu)必須在現(xiàn)有采購與供應(yīng)商管理流程當(dāng)中�,引入供應(yīng)鏈信息風(fēng)險(xiǎn)管理方案。
監(jiān)管要求
監(jiān)管要求將進(jìn)一步增加企業(yè)運(yùn)營(yíng)的復(fù)雜性��。歐盟通用數(shù)據(jù)保護(hù)條例(簡(jiǎn)稱GDPR)將于2018年年初上線,這將為關(guān)鍵資產(chǎn)管理工作增加新的復(fù)雜性因素����。
Durbin指出,“事實(shí)上����,通過與相關(guān)各方的溝通�����,我發(fā)現(xiàn)GDPR的影響幾乎無處不在��。這絕不僅僅是一項(xiàng)合規(guī)性法案�����,同時(shí)亦要求大家確保在任何時(shí)候都能夠在企業(yè)與供應(yīng)鏈體系當(dāng)中指向個(gè)人數(shù)據(jù)�����、了解如何管理并保護(hù)個(gè)人數(shù)據(jù)���,同時(shí)必須能夠隨時(shí)立足個(gè)人角度--而非監(jiān)管方--證明這種保護(hù)能力�。”
他補(bǔ)充稱,“我們我們真的要正確實(shí)現(xiàn)這一要求���,則將不得不改變自身業(yè)務(wù)的原本運(yùn)作方式���。”
ISF方面指出,滿足GDPR要求所帶來的額外資源消耗很可能提升合規(guī)性與數(shù)據(jù)管理成本���,同時(shí)迫使企業(yè)將更多精力與投資集中到這方面工作身上����。
未達(dá)到董事會(huì)預(yù)期
根據(jù)ISF方面的說法��,董事會(huì)的期望與企業(yè)信息安全職能實(shí)現(xiàn)能力之間的差距將在新的一年中構(gòu)成新的威脅�。
Durbin指出,“董事會(huì)通常能夠理解自身業(yè)務(wù)是在網(wǎng)絡(luò)空間中進(jìn)行運(yùn)作的�����。但在多數(shù)情況下�,董事會(huì)并不了解安全問題的全部含義。他們認(rèn)為CISO應(yīng)對(duì)一切擁有掌控能力�����。事實(shí)上,董事會(huì)并不了解如何提出正確的問題�����,而CISO也不知道該如何與董事會(huì)或業(yè)務(wù)進(jìn)行協(xié)商���。”
ISF方面表示����,董事會(huì)認(rèn)為過去幾年來持續(xù)提升信息安全預(yù)算的作法應(yīng)該使得CISO與信息安全部門能夠立即獲得成果��。然而�,建立完全安全的業(yè)務(wù)運(yùn)營(yíng)體系本身是一個(gè)不可能實(shí)現(xiàn)的目標(biāo)���。即使明白這一點(diǎn)���,董事會(huì)的大多數(shù)成員仍然不理解即使是在企業(yè)本身擁有正確的技能與能力的前提下,對(duì)信息安全作出實(shí)質(zhì)性改進(jìn)仍然需要大量時(shí)間�。
這種錯(cuò)位意味著,當(dāng)發(fā)生重大事件時(shí)�,不僅企業(yè)本身將受到影響,董事會(huì)成員的個(gè)人及集體聲譽(yù)也可能受到嚴(yán)重?fù)p害�。
Durbin表示���,正因?yàn)槿绱耍珻ISO的角色必須迎來變革��。
他總結(jié)道�����,“CISO的角色如今負(fù)責(zé)預(yù)測(cè)未來威脅態(tài)勢(shì)�,而非確保原有防火墻能夠繼續(xù)維持。大家必須預(yù)測(cè)未來可能出現(xiàn)的威脅并考慮其會(huì)對(duì)業(yè)務(wù)造成哪些影響���,而后將結(jié)論清晰表達(dá)給董事會(huì)成員����。一位的CISO應(yīng)當(dāng)是一名的銷售人員與一位顧問�����。如果無法兼得�,即雖然身為一名出色的顧問,但大家無法將自己的觀點(diǎn)傳遞給對(duì)方并獲取認(rèn)同�����,那么董事會(huì)將繼續(xù)作為干擾性因素存在。”(原標(biāo)題:盤點(diǎn)將在2018年進(jìn)一步升級(jí)的五大信息安全威脅)
移動(dòng)版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號(hào)
