不得不重視的五個(gè)信息安全威脅如果你認(rèn)為2017年對(duì)于數(shù)據(jù)泄露來(lái)說(shuō)是可怕的一年�����,那么走著瞧。
信息安全論壇(ISF)是一個(gè)專注于網(wǎng)絡(luò)安全和信息風(fēng)險(xiǎn)管理的全球性獨(dú)立信息安全機(jī)構(gòu)����,它預(yù)測(cè)數(shù)據(jù)泄露的數(shù)量和影響會(huì)增大�,這在很大程度上要?dú)w咎于組織將在面臨的五大全球性安全威脅����。
ISF的總經(jīng)理Steve Durbin說(shuō):“信息安全威脅的范圍之廣,速度之快�����,正在危害當(dāng)今最可靠的組織的聲譽(yù)”��。
在��,我們將看到威脅情況日益復(fù)雜���,威脅是針對(duì)其目標(biāo)的薄弱環(huán)節(jié)進(jìn)行個(gè)性化處理��,或者是考慮到已經(jīng)實(shí)施的防御措施而變形��,目前的危害比以往任何時(shí)候都高�����。
Durbin說(shuō)�,傳統(tǒng)領(lǐng)域�,比如網(wǎng)絡(luò)清理和客戶通知,將會(huì)解釋這些成本中的一些成本���,但是新的領(lǐng)域會(huì)產(chǎn)生額外的成本��,例如涉及越來(lái)越多的訴訟�����。
犯罪即服務(wù)(CaaS)將擴(kuò)展現(xiàn)有的工具和服務(wù)��。物聯(lián)網(wǎng)(IoT)將進(jìn)一步增加未經(jīng)管理的風(fēng)險(xiǎn)��。
供應(yīng)鏈仍然是風(fēng)險(xiǎn)管理中最薄弱的環(huán)節(jié)�����。
監(jiān)管將增加關(guān)鍵資產(chǎn)管理的復(fù)雜性�。
未經(jīng)滿足的董事會(huì)期望將會(huì)受到重大事件的影響。
犯罪即服務(wù)去年�,ISF預(yù)測(cè)CaaS將會(huì)有一次飛躍,犯罪集團(tuán)將進(jìn)一步發(fā)展模仿大型私營(yíng)部門(mén)組織的復(fù)雜層級(jí)�,伙伴關(guān)系和合作。
Durban說(shuō)�,事實(shí)證明該預(yù)測(cè)是有先見(jiàn)之明的,因?yàn)?017年“網(wǎng)絡(luò)犯罪,特別是犯罪即服務(wù)”大幅增加���。
ISF預(yù)測(cè)����,這一進(jìn)程將在繼續(xù)下去����,犯罪組織將活動(dòng)范圍擴(kuò)大到新市場(chǎng),并在全球范圍內(nèi)將其活動(dòng)商品化��。
ISF表示���,有些組織將根植于現(xiàn)有的犯罪結(jié)構(gòu),而其它一些組織只關(guān)注網(wǎng)絡(luò)犯罪����。
最大的區(qū)別是什么呢?在,CaaS將使沒(méi)有太多技術(shù)知識(shí)的“野心勃勃的網(wǎng)絡(luò)犯罪分子”能購(gòu)買工具和服務(wù)����,使他們能夠進(jìn)行本來(lái)無(wú)法進(jìn)行的攻擊”,Durbin這樣說(shuō)道����。
他補(bǔ)充說(shuō):“網(wǎng)絡(luò)犯罪不再僅僅是針對(duì)大型蜜罐:知識(shí)產(chǎn)權(quán)和大型銀行��。
”以如今最流行的惡意軟件類別加密勒索軟件(cryptoware)為例���。
在過(guò)去,使用勒索軟件的網(wǎng)絡(luò)犯罪分子依賴于一種不正當(dāng)?shù)男湃涡问剑核麄儠?huì)鎖定你的計(jì)算機(jī)����,受害者會(huì)用金錢贖回它,而犯罪分子會(huì)解鎖計(jì)算機(jī)���。
但Durbin說(shuō)�,野心勃勃的網(wǎng)絡(luò)犯罪分子引進(jìn)到這個(gè)領(lǐng)域意味著“信任”正在崩潰��。
即使是支付贖金的受害者可能也無(wú)法獲得解鎖財(cái)產(chǎn)的鑰匙����,或者網(wǎng)絡(luò)犯罪分子可能會(huì)一次又一次地回來(lái)。
與此同時(shí)����,Durbin說(shuō),網(wǎng)絡(luò)犯罪分子在使用社交工程方面正變得越來(lái)越老練�����。
雖然他們的目標(biāo)一般是個(gè)人而不是企業(yè),但這種攻擊仍然對(duì)組織構(gòu)成威脅�����。
他說(shuō):“對(duì)于我來(lái)說(shuō)�����,企業(yè)與個(gè)人的界限越來(lái)越模糊����。
個(gè)人越來(lái)越像企業(yè)。
”物聯(lián)網(wǎng)組織越來(lái)越多地采用物聯(lián)網(wǎng)設(shè)備�����,但是大多數(shù)物聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)上并不安全����。
此外��,ISF警告說(shuō)����,快速發(fā)展的物聯(lián)網(wǎng)生態(tài)系統(tǒng)將會(huì)越來(lái)越缺乏透明度����,模糊的條款和條件允許組織以非客戶想要的方式使用個(gè)人數(shù)據(jù)�。
在企業(yè)方面,組織知道哪些信息正在離開(kāi)他們的網(wǎng)絡(luò)���,或者哪些數(shù)據(jù)正在被智能手機(jī)和智能電視等設(shè)備偷偷地俘獲和傳輸����,這將是個(gè)問(wèn)題���。
如果發(fā)生數(shù)據(jù)泄露事件��,或出現(xiàn)透明度違規(guī)����,組織可能會(huì)被監(jiān)管機(jī)構(gòu)和客戶追究責(zé)任�。
而在最壞的情況下,工業(yè)控制系統(tǒng)中嵌入的物聯(lián)網(wǎng)設(shè)備的安全攻擊可能導(dǎo)致人身傷害和死亡��。
Durbin說(shuō):“從制造商的角度來(lái)看�,了解你的使用模式����,更好地了解個(gè)人�,顯然是非常重要的。
但所有這些都衍生出比以前更多的威脅向量�。
”Durbin補(bǔ)充說(shuō):“我們?nèi)绾未_保它們的安全,以便我們掌握控制權(quán)����,而不是讓設(shè)備被他人控制?我們將會(huì)看到更多這方面的意識(shí)的提高。
”供應(yīng)鏈ISF多年來(lái)一直在提供應(yīng)鏈脆弱性的問(wèn)題����。
正如該組織所指出的那樣,供應(yīng)商往往會(huì)與組織分享一系列有價(jià)值的敏感信息���。
當(dāng)這些信息被共享時(shí)�,直接控制就會(huì)丟失�����。
這意味著增加了危及該信息的機(jī)密性���,完整性或可用性的風(fēng)險(xiǎn)����。
Durbin說(shuō):“去年�����,我們開(kāi)始看到大型制造機(jī)構(gòu)因?yàn)楸痪苤T(mén)外���,供應(yīng)受到影響而失去制造能力�����。
”他補(bǔ)充說(shuō):“你處在什么行業(yè)并不重要�����,我們都有供應(yīng)鏈�����。
我們面臨的挑戰(zhàn)是��,我們?nèi)绾尾拍苷嬲私馕覀兊男畔⑻幵谏芷诟鱾€(gè)階段的哪個(gè)階段?我們?nèi)绾卧诠蚕硇畔r(shí)保護(hù)信息的完整性?ISF表示�,到�,企業(yè)要關(guān)注供應(yīng)鏈中最薄弱的環(huán)節(jié)�。
雖然不是每個(gè)安全攻擊都可以提前阻止�,但你和供應(yīng)商必須積極主動(dòng)。
Durbin建議采用強(qiáng)大的�、可擴(kuò)展的和可重復(fù)的流程,以得到與面臨的風(fēng)險(xiǎn)成正比的保障�。
組織必須在現(xiàn)有的采購(gòu)和供應(yīng)商管理流程中嵌入供應(yīng)鏈信息風(fēng)險(xiǎn)管理。
法規(guī)法規(guī)的復(fù)雜性增加了����,意義深遠(yuǎn)的歐盟通用數(shù)據(jù)保護(hù)規(guī)范(European Union General Data Protection Regulation, GDPR)將于初實(shí)施,這為關(guān)鍵資產(chǎn)管理增加了另一層復(fù)雜性����。
Durbin說(shuō):“GDPR觸手所及之處,我在世界上任何地方和任何人對(duì)話沒(méi)有它不插足的���。
這不僅僅關(guān)乎合規(guī)性���,還要確保你在任何時(shí)候都能夠在企業(yè)和供應(yīng)鏈上有能力指向個(gè)人數(shù)據(jù),了解如何管理和保護(hù)個(gè)人數(shù)據(jù)��,你必須能夠在任何時(shí)候說(shuō)明這個(gè)����,不僅對(duì)監(jiān)管者�����,還針對(duì)個(gè)人。
”他補(bǔ)充說(shuō):“如果我們真的要正確地實(shí)施它�����,我們將不得不改變我們做事的方式����。
ISF指出,解決GDPR義務(wù)所需的額外資源可能會(huì)增加合規(guī)性和數(shù)據(jù)管理成本���,并將注意力從其它活動(dòng)中轉(zhuǎn)移出來(lái)��,投資也從其它活動(dòng)中撤出���。
未經(jīng)滿足的董事會(huì)期望根據(jù)ISF的說(shuō)法,董事會(huì)的期望與信息安全職能實(shí)現(xiàn)成果的現(xiàn)實(shí)之間的不一致將在構(gòu)成威脅����。
Durbin說(shuō):“照例來(lái)說(shuō),董事會(huì)的確明白���,它理解它是在網(wǎng)絡(luò)空間中運(yùn)作的���,而在很多情況下�,它所不了解的是這個(gè)問(wèn)題的全部含義”���。
他們認(rèn)為一切都在首席信息安全官的掌控之中��,在很多情況下����,董事會(huì)也許仍然不知道如何問(wèn)到點(diǎn)子上���,首席信息安全官仍然不知道如何與董事會(huì)談話�����,或不知道這方面的業(yè)務(wù)����。
”ISF表示董事會(huì)預(yù)計(jì)他們?cè)谶^(guò)去幾年批準(zhǔn)的增加信息安全預(yù)算會(huì)使首席信息安全官和信息安全部門(mén)能夠立即取得成果�。
但是一個(gè)完全的組織是一個(gè)不可實(shí)現(xiàn)的目標(biāo)。
即使他們明白這一點(diǎn),很多董事會(huì)都不明白�����,即使在組織擁有正確的技能和能力的情況下�,對(duì)信息安全進(jìn)行實(shí)質(zhì)性改進(jìn)也需要時(shí)間。
這種錯(cuò)位意味著���,當(dāng)發(fā)生重大事件時(shí),不僅僅是組織感受到了影響����,董事會(huì)成員的個(gè)人和集體聲譽(yù)都可能會(huì)受到嚴(yán)重影響。
正因?yàn)槿绱?�,Durbin說(shuō)����,首席信息安全官的職位必須要演變。
他說(shuō):“現(xiàn)在的首席信息安全官的作用不是確保防火墻矗立不倒�,而是預(yù)料。
你必須預(yù)料未來(lái)的挑戰(zhàn)會(huì)如何影響業(yè)務(wù)并向董事會(huì)闡明�����,一個(gè)優(yōu)秀的首席信息安全官需要成為推銷員和顧問(wèn),但魚(yú)與熊掌不能兼得�����,我可以成為世界上最好的顧問(wèn)�,但如果我不能讓你接受我的想法,那么在董事會(huì)議室也不會(huì)取得任何進(jìn)展�。
”
