如果你认为2017年对于数据泄露来说是可怕的一年,那么2018年走着瞧。信息安全论坛(ISF)是一个专注于网络安全和信息风险管理的全球性独立信息安全机构,它预测数据泄露的数量和影响会增大,这在很大程度上要归咎于组织将在2018年面临的五大全球性安全威胁。
ISF的总经理Steve Durbin说:“信息安全威胁的范围之广,速度之快,正在危害当今最可靠的组织的声誉”。在2018年,我们将看到威胁情况日益复杂,威胁是针对其目标的薄弱环节进行个性化处理,或者是考虑到已经实施的防御措施而变形,目前的危害比以往任何时候都高。
Durbin说,和数据泄露的数量一同增长的是攻击记录的数量。正因为如此,明年对大大小小的组织来说,遭受攻击的机率都要高得多。Durbin说,传统领域,比如网络清理和客户通知,将会解释这些成本中的一些成本,但是新的领域会产生额外的成本,例如涉及越来越多的诉讼。ISF预测,愤怒的客户将迫使政府采取更严格的数据保护立法,这也要产生成本。
根据ISF的报告,推动这一趋势的是企业在2018年将要面临的以下五大全球性安全威胁:
- 犯罪即服务(CaaS)将扩展现有的工具和服务。
- 物联网(IoT)将进一步增加未经管理的风险。
- 供应链仍然是风险管理中最薄弱的环节。
- 监管将增加关键资产管理的复杂性。
- 未经满足的董事会期望将会受到重大事件的影响。
犯罪即服务
去年,ISF预测CaaS将会有一次飞跃,犯罪集团将进一步发展模仿大型私营部门组织的复杂层级,伙伴关系和合作。
Durban说,事实证明该预测是有先见之明的,因为2017年“网络犯罪,特别是犯罪即服务”大幅增加。ISF预测,这一进程将在2018年继续下去,犯罪组织将活动范围扩大到新市场,并在全球范围内将其活动商品化。ISF表示,有些组织将根植于现有的犯罪结构,而其它一些组织只关注网络犯罪。
最大的区别是什么呢?在2018年,CaaS将使没有太多技术知识的“野心勃勃的网络犯罪分子”能购买工具和服务,使他们能够进行本来无法进行的攻击”,Durbin这样说道。
他补充说:“网络犯罪不再仅仅是针对大型蜜罐:知识产权和大型银行。”
以如今最流行的恶意软件类别加密勒索软件(cryptoware)为例。在过去,使用勒索软件的网络犯罪分子依赖于一种不正当的信任形式:他们会锁定你的计算机,受害者会用金钱赎回它,而犯罪分子会解锁计算机。但Durbin说,野心勃勃的网络犯罪分子引进到这个领域意味着“信任”正在崩溃。即使是支付赎金的受害者可能也无法获得解锁财产的钥匙,或者网络犯罪分子可能会一次又一次地回来。
与此同时,Durbin说,网络犯罪分子在使用社交工程方面正变得越来越老练。虽然他们的目标一般是个人而不是企业,但这种攻击仍然对组织构成威胁。
他说:“对于我来说,企业与个人的界限越来越模糊。个人越来越像企业。”
物联网
组织越来越多地采用物联网设备,但是大多数物联网设备在设计上并不安全。此外,ISF警告说,快速发展的物联网生态系统将会越来越缺乏透明度,模糊的条款和条件允许组织以非客户想要的方式使用个人数据。在企业方面,组织知道哪些信息正在离开他们的网络,或者哪些数据正在被智能手机和智能电视等设备偷偷地俘获和传输,这将是个问题。
如果发生数据泄露事件,或出现透明度违规,组织可能会被监管机构和客户追究责任。而在最坏的情况下,工业控制系统中嵌入的物联网设备的安全攻击可能导致人身伤害和死亡。
Durbin说:“从制造商的角度来看,了解你的使用模式,更好地了解个人,显然是非常重要的。但所有这些都衍生出比以前更多的威胁向量。”
Durbin补充说:“我们如何确保它们的安全,以便我们掌握控制权,而不是让设备被他人控制?我们将会看到更多这方面的意识的提高。”
供应链
ISF多年来一直在提供应链脆弱性的问题。正如该组织所指出的那样,供应商往往会与组织分享一系列有价值的敏感信息。当这些信息被共享时,直接控制就会丢失。这意味着增加了危及该信息的机密性,完整性或可用性的风险。
Durbin说:“去年,我们开始看到大型制造机构因为被拒之门外,供应受到影响而失去制造能力。”
他补充说:“你处在什么行业并不重要,我们都有供应链。我们面临的挑战是,我们如何才能真正了解我们的信息处在生命周期各个阶段的哪个阶段?我们如何在共享信息时保护信息的完整性?
ISF表示,到2018年,企业要关注供应链中最薄弱的环节。虽然不是每个安全攻击都可以提前阻止,但你和供应商必须积极主动。Durbin建议采用强大的、可扩展的和可重复的流程,以得到与面临的风险成正比的保障。组织必须在现有的采购和供应商管理流程中嵌入供应链信息风险管理。
法规
法规的复杂性增加了,意义深远的欧盟通用数据保护规范(European Union General Data Protection Regulation, GDPR)将于2018年初实施,这为关键资产管理增加了另一层复杂性。
Durbin说:“GDPR触手所及之处,我在世界上任何地方和任何人对话没有它不插足的。这不仅仅关乎合规性,还要确保你在任何时候都能够在企业和供应链上有能力指向个人数据,了解如何管理和保护个人数据,你必须能够在任何时候说明这个,不仅对监管者,还针对个人。”
他补充说:“如果我们真的要正确地实施它,我们将不得不改变我们做事的方式。
ISF指出,解决GDPR义务所需的额外资源可能会增加合规性和数据管理成本,并将注意力从其它活动中转移出来,投资也从其它活动中撤出。
未经满足的董事会期望
根据ISF的说法,董事会的期望与信息安全职能实现成果的现实之间的不一致将在2018年构成威胁。
Durbin说:“照例来说,董事会的确明白,它理解它是在网络空间中运作的,而在很多情况下,它所不了解的是这个问题的全部含义”。他们认为一切都在首席信息安全官的掌控之中,在很多情况下,董事会也许仍然不知道如何问到点子上,首席信息安全官仍然不知道如何与董事会谈话,或不知道这方面的业务。”
ISF表示董事会预计他们在过去几年批准的增加信息安全预算会使首席信息安全官和信息安全部门能够立即取得成果。但是一个完全的组织是一个不可实现的目标。即使他们明白这一点,很多董事会都不明白,即使在组织拥有正确的技能和能力的情况下,对信息安全进行实质性改进也需要时间。
这种错位意味着,当发生重大事件时,不仅仅是组织感受到了影响,董事会成员的个人和集体声誉都可能会受到严重影响。
正因为如此,Durbin说,首席信息安全官的职位必须要演变。
他说:“现在的首席信息安全官的作用不是确保防火墙矗立不倒,而是预料。你必须预料未来的挑战会如何影响业务并向董事会阐明,一个优秀的首席信息安全官需要成为推销员和顾问,但鱼与熊掌不能兼得,我可以成为世界上最好的顾问,但如果我不能让你接受我的想法,那么在董事会议室也不会取得任何进展。”