每迎來(lái)新的一年,網(wǎng)絡(luò)犯罪活動(dòng)都變得更為復(fù)雜且更具協(xié)作特性。為了成功抵抗2015年當(dāng)中即將全面肆虐的安全威脅,信息安全專家們必須對(duì)五種主導(dǎo)性威脅類型做好應(yīng)對(duì)準(zhǔn)備。
在信息安全領(lǐng)域,2014年已經(jīng)成為極不平凡的一年——網(wǎng)絡(luò)威脅與數(shù)據(jù)泄露等事故以幾乎永無(wú)止境之勢(shì)一波波襲來(lái),給零售業(yè)、銀行業(yè)、游戲網(wǎng)絡(luò)以及政府機(jī)關(guān)等行業(yè)造成巨大沖擊。
雖然2014年即將走向終點(diǎn),但我們可以預(yù)計(jì)埡網(wǎng)絡(luò)威脅在規(guī)模、嚴(yán)重程度以及復(fù)雜性等方面勢(shì)必有增無(wú)減,信息安全論壇(簡(jiǎn)稱ISF)常務(wù)董事Steve Durbin指出——這是一家專門為其成員提供安全性評(píng)估與風(fēng)險(xiǎn)管理問(wèn)題解決方案的非營(yíng)利性協(xié)會(huì)。
展望步步走來(lái)的2015年,Durbin表示ISF為接下來(lái)的一年整理出五大將占據(jù)主導(dǎo)性的安全發(fā)展趨勢(shì)。
Durbin解釋稱,“對(duì)我來(lái)說(shuō),安全問(wèn)題本身并不會(huì)出現(xiàn)顛覆性的全新變化,新形勢(shì)主要表現(xiàn)在此類威脅的復(fù)雜性與精密程度方面。”
1.網(wǎng)絡(luò)犯罪
互聯(lián)網(wǎng)已經(jīng)成為一片吸引力越來(lái)越大的犯罪分子、激進(jìn)分子乃至恐怖分子的淘金地,他們?cè)谶@里通過(guò)各種非法手段賺取收益,甚至包括通過(guò)在線攻擊活動(dòng)中斷甚至導(dǎo)致企業(yè)及政府業(yè)務(wù)全面停機(jī)
當(dāng)下網(wǎng)絡(luò)犯罪活動(dòng)主要由前蘇聯(lián)各成員國(guó)所發(fā)起。這些國(guó)家擁有水平極高的相關(guān)技能并配備高度現(xiàn)代化工具——正如Durbin所指出,他們通常會(huì)利用二十一世紀(jì)工具沖擊于二十世紀(jì)構(gòu)建而成的系統(tǒng)。
“2014年,我們發(fā)現(xiàn)網(wǎng)絡(luò)犯罪活動(dòng)顯示出更高級(jí)別的協(xié)作水平與更令人擔(dān)憂的技術(shù)層級(jí),而很多大型組織機(jī)構(gòu)還完全沒(méi)有意識(shí)到這一點(diǎn),”Durbin指出。
“2015年,企業(yè)必須為預(yù)期之外的安全問(wèn)題做好準(zhǔn)備,從而保證自身有能力承受無(wú)法預(yù)料且影響極大的相關(guān)事故,”他進(jìn)一步補(bǔ)充稱。“隨著網(wǎng)絡(luò)規(guī)模的持續(xù)增長(zhǎng)、合規(guī)性保障的必要成本不斷提升以及針對(duì)現(xiàn)有安全保護(hù)措施的攻擊技術(shù)投入的進(jìn)一步加大,網(wǎng)絡(luò)犯罪活動(dòng)將掀起一股安全威脅新高潮。企業(yè)需要對(duì)業(yè)務(wù)依賴性關(guān)系做出更為明確的定性,從而更好地實(shí)現(xiàn)業(yè)務(wù)用例的彈性投資量化效果,最終最大程度削減意外狀況帶來(lái)的實(shí)際影響。”
2. 隱私與監(jiān)管
大部分政府機(jī)關(guān)已經(jīng)創(chuàng)建出或者正在逐步創(chuàng)建相關(guān)規(guī)章制度,旨在保證個(gè)人可識(shí)別信息(簡(jiǎn)稱PII)資產(chǎn)的維護(hù)與使用,而未能確切遵循相關(guān)要求并對(duì)上述信息加以保護(hù)的組織則面臨著遭受懲罰的風(fēng)險(xiǎn)。有鑒于此,Durbin指出,組織需要將隱私作為一項(xiàng)合規(guī)性與業(yè)務(wù)風(fēng)險(xiǎn)問(wèn)題進(jìn)行考量,從而減少監(jiān)控制裁以及各類業(yè)務(wù)成本——例如企業(yè)信譽(yù)受損以及因隱私侵犯導(dǎo)致的客戶流失狀況。
而全球范圍內(nèi)不同區(qū)域所采取的監(jiān)管機(jī)制在彼此結(jié)合與雜糅之后,也很可能在2015年讓企業(yè)面臨更為沉重的安全保障性負(fù)擔(dān)。
“我們發(fā)現(xiàn)已經(jīng)有越來(lái)越多的監(jiān)管性計(jì)劃開(kāi)始將信息收集、存儲(chǔ)以及使用機(jī)制同針對(duì)數(shù)據(jù)丟失與泄露通知所采取的懲罰性手段結(jié)合在一起,此類情況在歐盟地區(qū)表現(xiàn)得尤其明顯,”Durbin表示。“希望這一趨勢(shì)能夠得到進(jìn)一步持續(xù)與發(fā)展,從而在安全效能之外,從法規(guī)、人力資源以及中層管理角度對(duì)安全監(jiān)督加以強(qiáng)化。”
他還補(bǔ)充稱,企業(yè)應(yīng)當(dāng)關(guān)注歐盟對(duì)于數(shù)據(jù)泄露法規(guī)與隱私保護(hù)制度視為基準(zhǔn)性參考標(biāo)準(zhǔn),并據(jù)此組織起相應(yīng)的安全規(guī)劃。
“監(jiān)管機(jī)構(gòu)與政府部門正積極參與其中,”他指出。“而這給企業(yè)帶來(lái)了更為沉重的負(fù)擔(dān)。企業(yè)需要為此配備更為豐富的應(yīng)對(duì)性資源,并需要深入了解安全態(tài)勢(shì)的發(fā)展?fàn)顩r。如果大家所在企業(yè)中已經(jīng)聘請(qǐng)了內(nèi)部法律顧問(wèn),那么他們發(fā)揮作用的時(shí)候就是現(xiàn)在。如果還沒(méi)有聘請(qǐng)此類人員,則需要盡快將其納入成本規(guī)劃。”
3.來(lái)自第三方供應(yīng)商的安全威脅
供應(yīng)鏈?zhǔn)敲恳患移髽I(yè)在全球性業(yè)務(wù)運(yùn)營(yíng)體系當(dāng)中的重要組成部分,甚至已經(jīng)成為全球經(jīng)濟(jì)體驗(yàn)中的支柱與主干。然而正如Durbin所言,安全事務(wù)負(fù)責(zé)人們已經(jīng)開(kāi)始越來(lái)越多地關(guān)注自身企業(yè)在面對(duì)無(wú)數(shù)風(fēng)險(xiǎn)因素時(shí)的開(kāi)放程度。供應(yīng)商往往能夠共享到一系列有價(jià)值甚至是敏感性信息,而在信息處于共享狀態(tài)時(shí)、與之相關(guān)的直接控制機(jī)制也將失去效力。這無(wú)疑將導(dǎo)致信息在保密性、完整性以及可用性等層面面臨更為嚴(yán)重的安全風(fēng)險(xiǎn)。
即使是看似無(wú)害的連接也可能充當(dāng)著攻擊活動(dòng)的實(shí)質(zhì)性引導(dǎo)角色。攻擊Target的犯罪分子就是利用該公司HVAC供應(yīng)商用于提交發(fā)票信息的的Web服務(wù)應(yīng)用程序?qū)嵤阂饣顒?dòng)的。
“在未來(lái)一年中,第三方供應(yīng)商將進(jìn)一步面臨來(lái)自針對(duì)性攻擊活動(dòng)的威脅壓力,而且很可能無(wú)法保障其所涉及數(shù)據(jù)的機(jī)密性、完整性以及/或者可用性,”Durbin表示。“各類規(guī)模的企業(yè)都需要認(rèn)真考量供應(yīng)商帶來(lái)負(fù)面意外狀況的可能性,其中具體涉及知識(shí)產(chǎn)權(quán)、客戶或員工信息、商業(yè)計(jì)劃或者談判內(nèi)容等等。而這類思路對(duì)于負(fù)責(zé)制造或者分發(fā)的合作伙伴也同樣適用。我們還應(yīng)將專業(yè)服務(wù)供應(yīng)商、律師以及會(huì)計(jì)人員視為潛在高風(fēng)險(xiǎn)群體,因?yàn)樗麄兺材茌p松訪問(wèn)到最具價(jià)值的數(shù)據(jù)資產(chǎn)。”
Durbin補(bǔ)充稱,信息安全專家應(yīng)當(dāng)與負(fù)責(zé)按照合約提供服務(wù)的供應(yīng)方保持更為緊密的合作關(guān)系,并從盡職性調(diào)查的角度出發(fā)對(duì)潛在威脅進(jìn)行徹底排查。
“當(dāng)務(wù)之急在于,企業(yè)需要構(gòu)建起穩(wěn)固的業(yè)務(wù)持續(xù)性規(guī)劃、從而改善相關(guān)彈性并提振高管團(tuán)隊(duì)對(duì)于功能交付能力的信心,”他指出。“一套結(jié)構(gòu)良好的供應(yīng)鏈信息風(fēng)險(xiǎn)評(píng)估方案能夠提供詳盡的分步式實(shí)施方法,從而將艱巨的項(xiàng)目管理工作拆分成一個(gè)個(gè)易于完成的步驟性目標(biāo)。此類方案應(yīng)該由信息驅(qū)動(dòng)而非以供應(yīng)商為中心,因此能夠在不同企業(yè)環(huán)境下具備可擴(kuò)展能力與可重復(fù)利用特性。”
4.辦公環(huán)境中的BYOx趨勢(shì)
“自帶xx(即BYOx)”趨勢(shì)已經(jīng)客觀存在,無(wú)論企業(yè)或組織是否認(rèn)同,Durbin表示,而且就目前來(lái)看、幾乎沒(méi)有多少企業(yè)能夠真正就此開(kāi)發(fā)出良好的指導(dǎo)性政策方案。
“隨著員工不斷將自有移動(dòng)設(shè)備、應(yīng)用程序、基于云環(huán)境的存儲(chǔ)機(jī)制以及辦公環(huán)境訪問(wèn)機(jī)制引入企業(yè)環(huán)境,各類規(guī)模的組織逐漸發(fā)現(xiàn)防范信息安全風(fēng)險(xiǎn)的工作難度已經(jīng)達(dá)到前所未有的新高度,”他指出。“此類風(fēng)險(xiǎn)貫穿企業(yè)內(nèi)部與外部,包括設(shè)備本身管理不善、針對(duì)軟件漏洞的外部利用以及未經(jīng)嚴(yán)格測(cè)試且非可靠性業(yè)務(wù)應(yīng)用的部署等等。”
他同時(shí)指出,如果大家發(fā)現(xiàn)目前所在企業(yè)中的BYOx類風(fēng)險(xiǎn)過(guò)高,則至少需要確保對(duì)事態(tài)的進(jìn)一步發(fā)展保持關(guān)注與了解。如果大家認(rèn)為此類風(fēng)險(xiǎn)尚在可接受范圍之內(nèi),那么以此為基礎(chǔ)建立一套具備良好架構(gòu)的BYOx實(shí)施方案也未嘗不可。
“請(qǐng)記住,如果實(shí)施手段存在問(wèn)題,那么辦公環(huán)境下的個(gè)人設(shè)備戰(zhàn)略很可能面臨著意外泄露事故的侵?jǐn)_,其中包括工作與個(gè)人數(shù)據(jù)邊界模糊以及大量業(yè)務(wù)信息由未受保護(hù)的消費(fèi)級(jí)設(shè)備所保存及訪問(wèn),”他補(bǔ)充稱。
Durbin同時(shí)指出,實(shí)際上我們做好應(yīng)對(duì)最差情況的準(zhǔn)備,即在制定反BYOx管理政策的情況下、用戶仍然想盡一切辦法利用自有設(shè)備處理日常工作。
“這有點(diǎn)像嘗試阻扼浪潮涌動(dòng),”他表示。“雖然用一點(diǎn)沙子就能暫時(shí)擋住其沖擊,但水流總能找到突破的方式。用戶的力量在現(xiàn)代辦公環(huán)境下實(shí)在太過(guò)巨大。”
5. 致力于人為因素的控制
談到這一話題,我們就不能不提每家企業(yè)當(dāng)中規(guī)模最龐大的資產(chǎn)兼且最為脆弱的目標(biāo):人。
在過(guò)去幾十年中,企業(yè)已經(jīng)花費(fèi)成百上千萬(wàn)、甚至數(shù)十億美元推動(dòng)信息安全意識(shí)的普及工作。Durbin指出,這種作法的深層理由在于,企業(yè)意識(shí)到人作為業(yè)務(wù)活動(dòng)中基本要素的巨大影響能力,并希望利用此類方案改變其行為方式、從而依靠每一位員工對(duì)于職責(zé)及正確實(shí)踐方式的認(rèn)知對(duì)抗各類潛在安全風(fēng)險(xiǎn)。
不過(guò)殘酷的事實(shí)已經(jīng)并仍在不斷證明,這種價(jià)值主張根本無(wú)從實(shí)現(xiàn),Durbin強(qiáng)調(diào)稱。相反,企業(yè)需要以更為積極主動(dòng)的安全態(tài)度調(diào)整自身業(yè)務(wù)流程,將員工由風(fēng)險(xiǎn)根源轉(zhuǎn)化為企業(yè)安全事務(wù)中的第一道強(qiáng)大防線。
“隨著2015年的逐漸來(lái)臨,企業(yè)需要轉(zhuǎn)變思維、由以往的問(wèn)題發(fā)現(xiàn)轉(zhuǎn)化為創(chuàng)建對(duì)應(yīng)解決方案并將能夠切實(shí)消減風(fēng)險(xiǎn)程度的信息安全保障手段融入其中,”Durbin表示。“風(fēng)險(xiǎn)真實(shí)存在,因?yàn)槿藗兊膶?shí)際表現(xiàn)仍是個(gè)‘未知數(shù)’。很多企業(yè)已經(jīng)意識(shí)到人力是其規(guī)模最為龐大的資產(chǎn)類型,而大部分員工仍然無(wú)法清醒意識(shí)到‘人為因素’在信息安全領(lǐng)域中的重要地位。從本質(zhì)角度看,人為因素應(yīng)當(dāng)是一家企業(yè)強(qiáng)大控制體系中的重要甚至核心組成部分。”
“相對(duì)于單純要求員工了為相關(guān)信息安全負(fù)責(zé)并掌握應(yīng)對(duì)措施,各類規(guī)模企業(yè)真正該做的是引入積極的信息安全控制手段,從而將‘三思而后行’作為組織中信息安全文化中的一大良好習(xí)慣與立足根基,”Durbin指出。“盡管多數(shù)企業(yè)都擁有現(xiàn)成的合規(guī)性實(shí)施方案,但‘安全意識(shí)’的缺失往往使其無(wú)法切實(shí)起效。真正的商業(yè)性驅(qū)動(dòng)力應(yīng)該在于風(fēng)險(xiǎn)本身以及如何利用新型應(yīng)對(duì)方式降低此類風(fēng)險(xiǎn)。”