Thor+Olavsrud著+Charles譯

如果您認(rèn)為2017年是數(shù)據(jù)泄露事件形勢非常嚴(yán)峻的一年，那不妨等到2018年再說。信息安全論壇（ISF）是一家專注于網(wǎng)絡(luò)安全和信息風(fēng)險管理的全球性獨(dú)立信息安全機(jī)構(gòu)，它預(yù)測2018年數(shù)據(jù)泄露事件的數(shù)量和影響都會大增，這在很大程度要?dú)w咎于企業(yè)將要面臨的五個重大的全球性安全威脅。

ISF總經(jīng)理Steve Durbin說：“信息安全威脅的范圍之廣，擴(kuò)展之快，正在危及當(dāng)今最可信任企業(yè)的誠信和聲譽(yù)。2018年，我們將看到威脅情形變得更加復(fù)雜，威脅活動將瞄準(zhǔn)目標(biāo)的弱點(diǎn)進(jìn)行個性化攻擊，目標(biāo)如果已經(jīng)部署了防御措施，威脅會自我變形進(jìn)行攻擊。目前的風(fēng)險比以往任何時候都要高?！?/p>

Durbin指出，隨著數(shù)據(jù)泄露事件數(shù)量的增長，被攻破的記錄會越來越多。正因為如此，2018年對于各種規(guī)模的企業(yè)來講，面對攻擊所付出的成本要高很多。Durbin說，網(wǎng)絡(luò)清理和客戶通知等傳統(tǒng)領(lǐng)域能夠抵消其中一些成本，但威脅造成的新領(lǐng)域?qū)a(chǎn)生額外的成本，例如，涉及多方參與的法律訴訟問題等。ISF預(yù)測，憤怒的客戶會強(qiáng)烈要求政府制定更嚴(yán)格的數(shù)據(jù)保護(hù)立法，這也會隨之帶來更多的成本。

據(jù)ISF，推動這一趨勢的是2018年企業(yè)將面臨的以下五個重大的全球性安全威脅因素：

犯罪即服務(wù)（CaaS）將導(dǎo)致有越來越多的工具和服務(wù)

物聯(lián)網(wǎng)（IoT）會進(jìn)一步帶來難以管理的風(fēng)險

供應(yīng)鏈仍然是風(fēng)險管理中最薄弱的環(huán)節(jié)

監(jiān)管使得關(guān)鍵資產(chǎn)的管理越來越復(fù)雜

重大事件將暴露出未能達(dá)到董事會的預(yù)期

犯罪即服務(wù)

去年，ISF預(yù)測CaaS會有質(zhì)的飛躍，犯罪集團(tuán)會模仿大型私營企業(yè)的各個部門，發(fā)展出復(fù)雜的層次結(jié)構(gòu)，甚至有伙伴和協(xié)作關(guān)系。

Durbin指出，事實(shí)證明這一預(yù)測是有先見之明的，因為在2017年，“網(wǎng)絡(luò)犯罪事件大幅度增加，尤其是犯罪即服務(wù)?！盜SF預(yù)測這在2018年會繼續(xù)下去，犯罪組織將進(jìn)一步以各種方式開拓新市場領(lǐng)域，并在全球范圍內(nèi)將其犯罪活動商品化。ISF說，一些犯罪組織將扎根于現(xiàn)有的犯罪結(jié)構(gòu)，而另一些組織則只專注于網(wǎng)絡(luò)犯罪。

最大的區(qū)別是什么？Durbin說，2018年，那些沒有多少技術(shù)知識但卻“野心勃勃的網(wǎng)絡(luò)罪犯分子”會利用CaaS，通過購買工具和服務(wù)便能發(fā)起原本無從下手的攻擊。

他補(bǔ)充說：“網(wǎng)絡(luò)犯罪不僅僅是針對那些大‘蜜罐：知識產(chǎn)權(quán)和大銀行?！?/p>

以目前最流行的一類惡意軟件加密勒索軟件（Cryptoware）為例。過去，網(wǎng)絡(luò)罪犯分子使用的勒索軟件依賴于一種不正當(dāng)?shù)男湃涡问剑核麄冩i定受害者的計算機(jī)，受害者付過贖金后，犯罪分子才會解鎖計算機(jī)。但Durbin說，那些野心勃勃的網(wǎng)絡(luò)罪犯分子進(jìn)入這一領(lǐng)域后，這種所謂的“信任”也被打破了。受害者即使支付了贖金也可能無法得到解鎖他們計算機(jī)的密鑰，而網(wǎng)絡(luò)犯罪分子會一次又一次地卷土重來。

Durbin指出，與此同時，網(wǎng)絡(luò)犯罪分子在利用社交工程學(xué)方面變得越來越老練。雖然其目標(biāo)通常是指向個人而不是企業(yè)，但這種攻擊仍然對企業(yè)構(gòu)成了威脅。

他說：“在我看來，企業(yè)和個人之間的界限越來越模糊。攻擊活動也會把個人當(dāng)成企業(yè)來對待”。

物聯(lián)網(wǎng)

企業(yè)大量的采用了物聯(lián)網(wǎng)設(shè)備，但很多物聯(lián)網(wǎng)設(shè)備在設(shè)計時并沒有考慮安全因素。此外，ISF警告說，快速發(fā)展的物聯(lián)網(wǎng)生態(tài)支持系統(tǒng)會越來越缺乏透明度，模糊的條款和條件允許企業(yè)以客戶不愿意接受的方式使用個人數(shù)據(jù)。在企業(yè)方面，問題在于——企業(yè)想知道哪些信息正在離開他們的網(wǎng)絡(luò)，或者哪些數(shù)據(jù)被智能手機(jī)和智能電視等設(shè)備偷偷地采集并傳送出去。

當(dāng)確實(shí)發(fā)生了數(shù)據(jù)泄露事件，或者透明度違規(guī)行為被披露出來，那么企業(yè)很可能會被監(jiān)管機(jī)構(gòu)和客戶追究責(zé)任。而在最壞的情況下，嵌入在工業(yè)控制系統(tǒng)中的物聯(lián)網(wǎng)設(shè)備在安全上被攻破后，可能會導(dǎo)致人身傷害和死亡事件。

Durbin說：“從制造商的角度來看，清楚的了解使用模式是什么，更好地掌握個人行為是非常重要的。但所有這些都會帶來比以前更多的威脅攻擊途徑?！?/p>

Durbin補(bǔ)充說：“我們應(yīng)該怎樣保證它們的安全，是我們在控制設(shè)備，而不是設(shè)備被他人控制？我們將看到這方面的意識會越來越強(qiáng)。”

供應(yīng)鏈

ISF多年來一直在強(qiáng)調(diào)供應(yīng)鏈的脆弱性問題。正如企業(yè)所指出的那樣，供應(yīng)商往往會與企業(yè)共享一系列有價值的敏感信息。當(dāng)這些信息被共享時，就會喪失了直接控制權(quán)。這意味著信息的保密性、完整性和可用性會面臨更大的風(fēng)險。

Durbin說：“去年，我們看到，大型制造業(yè)企業(yè)因為被攻擊鎖定，供應(yīng)鏈?zhǔn)艿接绊懚鴮?dǎo)致停產(chǎn)?！?/p>

他補(bǔ)充說：“您處在哪個行業(yè)并不重要。畢竟，我們都有供應(yīng)鏈。我們面臨的挑戰(zhàn)是，在生命周期的每個階段，我們怎樣才能真正的知道我們的信息究竟在哪里？這些信息被共享時，我們又該怎樣保護(hù)其完整性？”

ISF說，2018年，企業(yè)應(yīng)關(guān)注供應(yīng)鏈中最薄弱的環(huán)節(jié)。雖然并非所有的安全攻擊事件都能提前阻止，但您和您的供應(yīng)商應(yīng)積極主動的做好預(yù)防工作。Durbin建議采用強(qiáng)大的、可擴(kuò)展的和可重復(fù)的流程，以保證當(dāng)面臨的風(fēng)險增加時，防御措施也隨之增強(qiáng)。企業(yè)必須在現(xiàn)有的采購和供應(yīng)商管理流程中嵌入供應(yīng)鏈信息風(fēng)險管理功能。

監(jiān)管

監(jiān)管讓情形更加復(fù)雜，全面的歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）將在2018年初實(shí)施，這又讓關(guān)鍵資產(chǎn)管理變得更加復(fù)雜。

Durbin說：“當(dāng)我與世界上任何地方、任何個人對話時，都無不提及GDPR。這不僅僅是合規(guī)問題。而且還涉及到您能夠隨時找到企業(yè)和供應(yīng)鏈上任何一點(diǎn)的個人數(shù)據(jù)，知道怎樣管理和保護(hù)這些數(shù)據(jù)。您必須能夠隨時從個人角度出發(fā)——而非監(jiān)管方，去證明這些。”

他補(bǔ)充說：“如果我們真的想要正確地實(shí)施這些，我們將不得不改變我們開展業(yè)務(wù)的方式?！?/p>

ISF指出，為承擔(dān)GDPR責(zé)任而需要的額外資源可能會增加合規(guī)和數(shù)據(jù)管理成本，而且還不得不從其他活動中分出精力，撤出投資，轉(zhuǎn)而集中到這方面的工作中。

未能達(dá)到董事會的期望

據(jù)ISF，2018年的另一威脅是，信息安全職能部門實(shí)現(xiàn)的實(shí)際結(jié)果達(dá)不到董事會的期望。

Durbin解釋說：“照理來說，董事會的確會明白的。他們明白業(yè)務(wù)是在網(wǎng)絡(luò)空間中運(yùn)行的。但在很多情況下，他們并不知道問題的全部含義。他們認(rèn)為一切盡在首席信息安全官的掌控之中。事實(shí)上，董事會的問題仍然不能切中要害。首席信息安全官們也不知道怎樣針對問題與董事會或者業(yè)務(wù)部門進(jìn)行協(xié)商?！?/p>

ISF指出，董事會希望他們在過去幾年里批準(zhǔn)增加的信息安全預(yù)算能夠使首席信息安全官和信息安全職能部門立即取得成果。但百分之百安全的企業(yè)其實(shí)是一個遙不可及的目標(biāo)。即使他們明白了這一點(diǎn)，許多董事們也不知道，即便企業(yè)擁有正確的技能和能力，對信息安全做出實(shí)質(zhì)性的改進(jìn)也需要時間。

這種不一致意味著，當(dāng)發(fā)生重大事件時，不僅僅是企業(yè)感受到了影響；董事會成員的個人和集體聲譽(yù)都會受到嚴(yán)重影響。

Durbin說，正因為如此，首席信息安全官的角色必須要轉(zhuǎn)變。

他說：“首席信息安全官現(xiàn)在的角色不是要保證防火墻矗立不倒，而是能做出預(yù)測。必須能預(yù)測今后的威脅挑戰(zhàn)將怎樣影響企業(yè)，并向董事會解釋清楚。一名優(yōu)秀的首席信息安全官也應(yīng)該是推銷員和顧問。當(dāng)然也不必兩者兼顧。我可以成為世界上最好的顧問，但如果我不能把我的想法推銷給對方，讓對方接受，那在董事會里也不會有任何進(jìn)展?！眅ndprint