信息安全威胁态势一直处于不断发展变化的过程中。每一年,专注安全和风险管理研究的非营利组织“信息安全论坛(ISF)”,都会发布《威胁地平线》报告,提出关于未来两年内重大安全威胁的前瞻性观点。此处就为您呈上2016年报告中指出的未来两年九大信息安全威胁。
技术应用大幅延伸了威胁涵盖范围
现代社会,技术已成为日常生活中不可或缺的一部分。未来两年内,技术在人们生产生活中所占的比重只会日趋增长,人们做任何事都会如此依赖技术。公司企业明显开始认识到,只有最大限度利用这一趋势才能在现代社会站稳脚跟,逆势而为是没有活路的。但随着公司企业不断最大化他们的生产效能,更为扩展、复杂的威胁态势也就摆在了他们面前。
1. 物联网敏感信息泄露
随着实时数据收集的价值越来越为人所知,物联网的快速兴起简直顺理成章。无论是优化昂贵工业设备的正常运行时间、监测流量、收集实时健康信息,还是很多其他什么应用,公司企业和个人都在采用物联网设备。但是,用来收集数据的设备未必就是安全的,很有可能给公司企业开了个供外人进出的后门。物联网生态系统中常见的透明性缺乏,也就是涉及个人数据使用的协议条款模糊不清等状况,也会使公司企业陷入隐私相关问题的泥潭中难以自拔。这是公司企业必须严肃对待的一项特殊挑战。没人会到商店里说”给我拿最安全的设备”,人们通常都选最好看的,或者功能最多的。ISF的信息安全专家们建议:
- 在向网络中加进物联网设备时应用安全规程,不然就准备好迎接监管罚款和声誉损失。
- 在物联网部署前先征得数据收集许可,不只是哪些信息能被收集,还要考虑哪些信息能被共享,以及可以共享给谁。
- 确保客户数据使用的条款是透明清晰且符合合规要求的。
- 全盘考虑物联网安全,而不是针对设备个别处理。
2. 不透明的算法危害完整性
公司企业越来越多地在关键系统中采用算法来运营和做决策,从自动泊车到自动交易,莫非如是。缺了人的参与,公司企业对自身系统的运作和互动机制也就越来越不了解了。这种透明性的缺乏可能会带来严重的安全风险,或许有一天算法间的非预期交互说不定就产生了能导致严重后果的事件呢。此类事件的一个著名例子,就是2014年10月美国国债的“闪电崩盘”事件。当时那些算法就曾短暂推动债券收益率大幅下降。要知道,我们时不时的就会干点蠢事。你得了解自家算法系统的某些弱点。我们的系统越来越多地建立在算法的基础上——工业控制、关键基础设施等等。这些领域中留待我们解决的风险越来越多,ISF建议:
- 发现算法控制系统的暴露点,知晓什么情况下需要人的介入,什么情况下是故障安全的。
- 更新代码维护策略。
- 找到算法相关事件风险的不同处理方式,尤其是在保险也承担不了的情况下。
- 保障健壮的业务连续性和弹性规划。
3. 流氓政府利用恐怖组织发动网络攻击
流氓政府从经济、武器和后勤上为恐怖组织提供支持,以便自身可以进行秘密行动而事后加以推诿。ISF认为,未来2年中,这种形式的支持将会延伸至网络攻击范畴(知识、培训、软件和硬件),让恐怖组织得以攻击别国基础设施或公司企业。这将导致很多公司企业面临前所未有的持续性强破坏力网络攻击。涉及IS之流恐怖组织的网络事件已然发生。运营关键基础设施的大型公司固然是恐怖组织的首选攻击目标,作为供应链的小公司也有可能被看做是进入这些大公司的跳板。ISF预测,此类攻击不仅仅是继续,甚至会更加深化。这是另一层级的威胁,无关经济利益或控制,而是出于更加阴险邪恶的目的,可能比网络罪犯所能干出来的更激进,更加漫长持久。ISF建议:
- 挑战风险管理规程,发展新的能力,并用常规情绪规划强化之,做好应对诸如恐怖组织之类威胁行为人的准备。
- 审查现有控制,专注于增加弹性。
- 探索与政府和面临同样威胁的公司间的威胁情报合作可能性。
防护能力渐被破坏
现有信息风险管理方法将被各类(通常是非恶意的)行为人侵蚀或破坏。总是有太多的网络攻击让人疲于奔命,但又有其他事在不断侵蚀我们的风险管理能力。
4. 董事会的不现实期望
在过去,董事会和高管们对安全的价值不太感冒。但如今,情况有所改变。董事会批准了不断增长的信息安全预算,并希望马上看到效果。安全被提上了议程表首位,董事会却依然不理解信息安全的实质性改善是需要时间的——即使公司已经有了正确的技术和恰当的能力。董事会的期望值会快速提升,直至超出了公司信息安全团队的能力范畴。董事会看待安全的方式与看待其他业务没什么不同,常常以一种季度化的视角要求在短期内看到大幅进展。但是,很多事,都是需要相当长的时间才能见效的。ISF建议:
- 定期向董事会汇报,为其呈现适合其风险胃口的可靠风险视图。
- 基于首席信息安全官(CISO)和信息安全团队的当前和未来能力,调整董事会对安全改进的期望值。
- 启动人才计划,将CISO和信息安全团队从技术专家转型为值得信赖的商业伙伴。
- 向那些已经转型为可靠商业伙伴的人学习。
5. 被封口的安全漏洞研究员
随着所有主要产业领域都掀起了软件代替硬件的风潮,安全研究员发现并公开漏洞以改进安全也成为了常态。但制造商们却开始以采取法律行动,而不是合作修复漏洞的方式,对这种趋势进行了回击。ISF认为,未来两年内,厂商压制研究员的趋势将愈演愈烈,知情不报的漏洞将充斥在各类软件中,让客户徒叹奈何。
被法律诉讼封口的研究员人数在持续上升。向白帽子黑客提供漏洞奖励,在自家系统推出之前邀人测试是比较流行的做法。白帽子们得鼓起勇气来报告漏洞,而且肯定得跟公司高层签订某些协议。ISF建议技术买家们坚持要求在采购流程中有更多的透明度,包括查看制造商的漏洞发现策略和外部漏洞测试结果。对制造商而言,则是要考虑给予负责任地揭露漏洞的研究员一定的金钱奖励。如果必要的话,可以使用中介服务来达到令人满意的信息披露实践。
6. 网络保险安全网已撕开
ISF认为,未来2年里的重大数据泄露,将给提供网络保险服务并错估了风险的保险公司造成惨重的经济损失。他们或许会期望有很多承保人退出市场,设置更严格的投保要求,缩减现有承保业务范围,大幅提高保费,限制签保感知风险低的产业。已经依赖于网络风险保险的公司将有可能被触到痛点。越来越多的保险商会认识到这是一个复杂的领域,制定保险政策的标准精算方法可能并不适用于网络风险保险。ISF建议:
- 预先重评估风险管理策略,尤其是经由网络保险转变的风险程度。
- 审查网络保险策略,查找有没有潜在的会导致重大损失的例外条款。
政府愈趋干涉
未来2年,世界各国政府会对民众使用的各种或新或旧的技术产品和服务进行更加密集严格的审查。处理个人信息的公司,尤其是大型技术公司,可能会被政府以更加侵入性的方式对待。政府渐渐醒悟到,有些东西他们必须参与进来,甚至会不惜做出某些相当极端的举动。去年欧盟决意不再承认《安全港协议》就是一例。利用恐怖主义的潜在威胁,推行一些原本绝对不可能被通过的法规也是某些政府的做法。
7. 颠覆性公司挑衅政府
商业战略激进,乃至能够颠覆所属行业的公司,比如优步、Airbnb、谷歌,将激起政客和监管者的警觉,促使他们更加仔细地审查新技术对国内的影响。他们将从反竞争行为的审查开始,但最终可能会延伸至对整个技术产业的产品和服务提供商的全面审查。政府对这些技术的感知会很快,甚至可能比他们对社会和政治影响的理解来得更快,也就可能会导致出台对抗性的、考虑不周的政策,不仅不能激励经济增长,也无法增强所辖公民的数据防护。比如说,或许某天,原本全球联网的云,就变成了各国割据的云,公司企业再也不能全球范围内自由转移数据了。ISF建议:
- 了解自家产品和服务倾销地的本地政治生态,避免政治冲突。这对扩张很快而又在总部所在地之外少有实体的公司企业而言尤其是个挑战。
- 制订出清晰的政治影响和参与策略,专注于基于原则的监管体制(与合规清单相对比)。
- 探索集体影响力的可能性,比如联合或成立贸易联盟。
8. 监管割裂云服务
未来2年,监管和立法的改变,将在个人数据的收集、存储、交换和删除上增加新的限制。依赖云服务的公司企业将会遭受到特别严重的打击。他们将挣扎在遵从新数据保护和数据本地化合规要求,同时又要如常开展业务的两难境地之中。2015年10月美欧《安全港协议》废止之后,数据存储地点将成为亟待解决的问题。欧盟新颁布的《通用数据保护规定》,也将在一大堆合规要求和违规重罚的支持下,把局面弄得更加复杂。监管者希望看到公司企业都能负起责任来。但是监管者又能否看到即使采取了所有可能的手段还是发生了数据泄露事件的情况呢?无论如何,我们使用云的方式都会受到监管改变的影响。ISF建议:
- 理解当前和提案中的法律法规将会在更强的数据保护呼声下发生怎样的变化。
- 采取主动,准备好应对监管情绪转变领域的改变。
9. 国际监管下的网络犯罪能力大幅提升
网络罪犯技术能力见长,已达能跟政府和其他机构抗衡的地步。未来2年,他们的能力或许会远超受害者。这将削减当前保护公司企业的控制机制的能力。公司企业会转向执法机构和政府寻求帮助,但通常攻击别国受害者的网络罪犯们,将继续利用能力差异很大的各国执法机构在跨国合作上的空白来逃避起诉。公司企业将遭受更多更具破坏性的攻击,也将减少向政府的求援。罪犯都不傻,他们很清楚多国警务合作根本没有延续性一致性。犯罪发生地与犯罪执行人之间的直接联系未必会被你掌握。从司法角度来看,这是相当大的一个挑战。ISF建议:
- 短期内,跟上网络犯罪的进化,部署合适的控制机制和健壮的弹性的系统。
- 中期来看,打造威胁情报能力,以便风险评估能定期进行,尽可能地掌握威胁情况。
- 长期看,主动影响各国政府,敦促政府合作,建立能够有效对抗网络犯罪的国际法律框架。
