主宰2018年的五大信息安全威胁

2018-01-18 15:25ThorOlavsrud著Charles译
计算机世界 2018年3期
关键词:董事会威胁信息安全

Thor+Olavsrud著+Charles译

如果您认为2017年是数据泄露事件形势非常严峻的一年,那不妨等到2018年再说。信息安全论坛(ISF)是一家专注于网络安全和信息风险管理的全球性独立信息安全机构,它预测2018年数据泄露事件的数量和影响都会大增,这在很大程度要归咎于企业将要面临的五个重大的全球性安全威胁。

ISF总经理Steve Durbin说:“信息安全威胁的范围之广,扩展之快,正在危及当今最可信任企业的诚信和声誉。2018年,我們将看到威胁情形变得更加复杂,威胁活动将瞄准目标的弱点进行个性化攻击,目标如果已经部署了防御措施,威胁会自我变形进行攻击。目前的风险比以往任何时候都要高。”

Durbin指出,随着数据泄露事件数量的增长,被攻破的记录会越来越多。正因为如此,2018年对于各种规模的企业来讲,面对攻击所付出的成本要高很多。Durbin说,网络清理和客户通知等传统领域能够抵消其中一些成本,但威胁造成的新领域将产生额外的成本,例如,涉及多方参与的法律诉讼问题等。ISF预测,愤怒的客户会强烈要求政府制定更严格的数据保护立法,这也会随之带来更多的成本。

据ISF,推动这一趋势的是2018年企业将面临的以下五个重大的全球性安全威胁因素:

犯罪即服务(CaaS)将导致有越来越多的工具和服务

物联网(IoT)会进一步带来难以管理的风险

供应链仍然是风险管理中最薄弱的环节

监管使得关键资产的管理越来越复杂

重大事件将暴露出未能达到董事会的预期

犯罪即服务

去年,ISF预测CaaS会有质的飞跃,犯罪集团会模仿大型私营企业的各个部门,发展出复杂的层次结构,甚至有伙伴和协作关系。

Durbin指出,事实证明这一预测是有先见之明的,因为在2017年,“网络犯罪事件大幅度增加,尤其是犯罪即服务。”ISF预测这在2018年会继续下去,犯罪组织将进一步以各种方式开拓新市场领域,并在全球范围内将其犯罪活动商品化。ISF说,一些犯罪组织将扎根于现有的犯罪结构,而另一些组织则只专注于网络犯罪。

最大的区别是什么?Durbin说,2018年,那些没有多少技术知识但却“野心勃勃的网络罪犯分子”会利用CaaS,通过购买工具和服务便能发起原本无从下手的攻击。

他补充说:“网络犯罪不仅仅是针对那些大‘蜜罐:知识产权和大银行。”

以目前最流行的一类恶意软件加密勒索软件(Cryptoware)为例。过去,网络罪犯分子使用的勒索软件依赖于一种不正当的信任形式:他们锁定受害者的计算机,受害者付过赎金后,犯罪分子才会解锁计算机。但Durbin说,那些野心勃勃的网络罪犯分子进入这一领域后,这种所谓的“信任”也被打破了。受害者即使支付了赎金也可能无法得到解锁他们计算机的密钥,而网络犯罪分子会一次又一次地卷土重来。

Durbin指出,与此同时,网络犯罪分子在利用社交工程学方面变得越来越老练。虽然其目标通常是指向个人而不是企业,但这种攻击仍然对企业构成了威胁。

他说:“在我看来,企业和个人之间的界限越来越模糊。攻击活动也会把个人当成企业来对待”。

物联网

企业大量的采用了物联网设备,但很多物联网设备在设计时并没有考虑安全因素。此外,ISF警告说,快速发展的物联网生态支持系统会越来越缺乏透明度,模糊的条款和条件允许企业以客户不愿意接受的方式使用个人数据。在企业方面,问题在于——企业想知道哪些信息正在离开他们的网络,或者哪些数据被智能手机和智能电视等设备偷偷地采集并传送出去。

当确实发生了数据泄露事件,或者透明度违规行为被披露出来,那么企业很可能会被监管机构和客户追究责任。而在最坏的情况下,嵌入在工业控制系统中的物联网设备在安全上被攻破后,可能会导致人身伤害和死亡事件。

Durbin说:“从制造商的角度来看,清楚的了解使用模式是什么,更好地掌握个人行为是非常重要的。但所有这些都会带来比以前更多的威胁攻击途径。”

Durbin补充说:“我们应该怎样保证它们的安全,是我们在控制设备,而不是设备被他人控制?我们将看到这方面的意识会越来越强。”

供应链

ISF多年来一直在强调供应链的脆弱性问题。正如企业所指出的那样,供应商往往会与企业共享一系列有价值的敏感信息。当这些信息被共享时,就会丧失了直接控制权。这意味着信息的保密性、完整性和可用性会面临更大的风险。

Durbin说:“去年,我们看到,大型制造业企业因为被攻击锁定,供应链受到影响而导致停产。”

他补充说:“您处在哪个行业并不重要。毕竟,我们都有供应链。我们面临的挑战是,在生命周期的每个阶段,我们怎样才能真正的知道我们的信息究竟在哪里?这些信息被共享时,我们又该怎样保护其完整性?”

ISF说,2018年,企业应关注供应链中最薄弱的环节。虽然并非所有的安全攻击事件都能提前阻止,但您和您的供应商应积极主动的做好预防工作。Durbin建议采用强大的、可扩展的和可重复的流程,以保证当面临的风险增加时,防御措施也随之增强。企业必须在现有的采购和供应商管理流程中嵌入供应链信息风险管理功能。

监管

监管让情形更加复杂,全面的欧盟通用数据保护条例(GDPR)将在2018年初实施,这又让关键资产管理变得更加复杂。

Durbin说:“当我与世界上任何地方、任何个人对话时,都无不提及GDPR。这不仅仅是合规问题。而且还涉及到您能够随时找到企业和供应链上任何一点的个人数据,知道怎样管理和保护这些数据。您必须能够随时从个人角度出发——而非监管方,去证明这些。”

他补充说:“如果我们真的想要正确地实施这些,我们将不得不改变我们开展业务的方式。”

ISF指出,为承担GDPR责任而需要的额外资源可能会增加合规和数据管理成本,而且还不得不从其他活动中分出精力,撤出投资,转而集中到这方面的工作中。

未能达到董事会的期望

据ISF,2018年的另一威胁是,信息安全职能部门实现的实际结果达不到董事会的期望。

Durbin解释说:“照理来说,董事会的确会明白的。他们明白业务是在网络空间中运行的。但在很多情况下,他们并不知道问题的全部含义。他们认为一切尽在首席信息安全官的掌控之中。事实上,董事会的问题仍然不能切中要害。首席信息安全官们也不知道怎样针对问题与董事会或者业务部门进行协商。”

ISF指出,董事会希望他们在过去几年里批准增加的信息安全预算能够使首席信息安全官和信息安全职能部门立即取得成果。但百分之百安全的企业其实是一个遥不可及的目标。即使他们明白了这一点,许多董事们也不知道,即便企业拥有正确的技能和能力,对信息安全做出实质性的改进也需要时间。

这种不一致意味着,当发生重大事件时,不仅仅是企业感受到了影响;董事会成员的个人和集体声誉都会受到严重影响。

Durbin说,正因为如此,首席信息安全官的角色必须要转变。

他说:“首席信息安全官现在的角色不是要保证防火墙矗立不倒,而是能做出预测。必须能预测今后的威胁挑战将怎样影响企业,并向董事会解释清楚。一名优秀的首席信息安全官也应该是推销员和顾问。当然也不必两者兼顾。我可以成为世界上最好的顾问,但如果我不能把我的想法推销给对方,让对方接受,那在董事会里也不会有任何进展。”endprint

猜你喜欢
董事会威胁信息安全
中国机械工程杂志社第四届董事会
中国机械工程杂志社第四届董事会
中国机械工程杂志社第四届董事会
中国机械工程杂志社第四届董事会
人类的威胁
受到威胁的生命
保护信息安全要滴水不漏
高校信息安全防护
面对孩子的“威胁”,我们要会说“不”
保护个人信息安全刻不容缓