明年，5个不同威胁将造成同一效果：安全事件率上升，程度更严重。这一结论是上万名安全专业人士参与的信息安全论坛(ISF)得出的。

这5个主要的网络安全威胁是：

• 犯罪即服务的持续进化
• 不受控的IoT风险
• 监管复杂性
• 供应链安全
• 董事会期待值与安全能力的不匹配

犯罪即服务影响的增长，是最大的担忧，这是有组织网络犯罪越来越专业化的结果。事实上，犯罪即服务已臻成熟，犯罪组织为初级罪犯提供了唾手可得的渠道。明年我们将看到攻击变得更加复杂和有针对性。其中一个问题是，网络罪犯变得精于共享信息，可以做一些“好人”不太擅长的事情，比如情报共享。

网络犯罪就是个巨大的伞式组织。其下覆盖着运作精良的大型网络犯罪团伙——有组织犯罪，也就是持续招募扩张，乐于售卖产品及服务给其他人的那类。至于说罪犯更精于沟通，这与良好的企业运营类似：他们有市场营销计划；有外展方案；还有围绕作为犯罪即服务的一部分所提供服务的一些沟通。他们的方法和漏洞利用程序不会共享到让竞争者可以使用的程度，但他们会作为推广而共享。在更高级的层次，网络犯罪运营特别像是专业的公司。

有些源自东欧国家的有组织犯罪团伙堪称“巨大”，并辅以很多较小的精干组织，而且更为认上担心的是，依托犯罪即服务而涌入网络犯罪世界的那些无组织的跟风者。这些人破坏并恶化了已被接受的现状，比如勒索软件。

以前网络罪犯只对用勒索软件赚钱感兴趣，罪犯会释放某种恶意软件到系统中，让受害者无法访问需要的信息，这样他们就能收到一定数量的赎金。这便足以让罪犯获得收益，但还不至于到受害者不愿意支付，或支付不起的程度。

但如今我们看到的，是不遵守这些规则的勒索元素。比如，赎金支付了都不交出解密密钥；而这就是让人担忧的地方——因为游戏规则被改变了。简言之，网络犯罪通过犯罪即服务走上商品化道路，引来了无政府状态，让防御者难以计划应对，让有组织犯罪难以维持其有组织性。

第2个威胁是物联网(IoT)，有2个主要方面令人担忧。首先，家用设备不安全，默认口令总是没修改，而且人们惯于将工作带回家。但关键基础设施中的IoT才是真正的痛点。如果从一张白纸开始，规定和立法会有作用，但事实并非如此。制造业多年以前就开始安装各种嵌入式设备了。那个时候，制造企业压根儿不觉得安全是个问题，各公司也对自己使用的全部设备有清晰完整的可见性。

比如说，一家福布斯全球2000强公司，关停自家工厂过程中就出了事。某些机器突然又开动了——因为有些IoT设备接入了互联网，而他们完全没注意到。该公司忘记了这部分自己拥有的IoT，而这些IoT设备是可以自主重启机器的。

第3个新兴威胁，是监管的愈趋繁重和复杂。虽然是用来改善安全的，但也有将注意力和资源从重要安全项目上拉走的可能性。《通用数据保护条例》(GDPR)，就是要求繁复且利益相关者对之缺乏了解的典型案例。但GDPR绝不是即将付诸实施的唯一一项新监管条例，而合规责任的不断增加，以及各国立法差异，会加大跨国公司和国际贸易企业的负担。

第4及第5个新兴威胁——供应链及董事会期待值与安全能力的不匹配，是个一体两面的问题。虽然高级管理层越来越重视安全，也为公司安全负起更多责任，但依然不了解其安全团队在干什么，甚或有没有能力来维护公司安全。第三方相关公司、第四方、第五方等等（也就是供应链），也会发生这种情况。但如果说董事会并不真正了解其自身安全能力，那他们对供应链安全的理解只能说是更少得可怜了。这就是商业数字化过程中快速增大的一个威胁界面。

解决方案只能来自于将安全烙印到公司的整体风气中，让安全团队成为一个整体理念，而不是与己无关的独立部门。有些前瞩性的专家常谈到，未来不再专设安全人员的那一天，也就是公司强烈意识到安全的不可或缺，安全已完全融入到企业功能中的那一天。安全必须从一开始就内嵌到企业中，目前我们距之甚远，但CISO面临的挑战已近在眼前，他们需要沟通，需要受到公司的重视。

恐怕只有到了公司设计中融入安全成为现实的那一天，ISF列出的全部五大新兴威胁，才会被纳入某种程度的控制之下。同时，安全事件将会继续增多，安全状况也只会越来越糟。

相关阅读

犯罪即服务：购买DDoS攻击竟可获信誉积分
14.5亿美元：FBI互联网犯罪2016年度报告
这里是恋童癖、人口贩卖、武器销售和黑客服务之都