隨著2015年即將接近尾聲,我們可以預(yù)期,在2016年相關(guān)網(wǎng)絡(luò)罪犯活動(dòng)的規(guī)模、嚴(yán)重程度、危害性、復(fù)雜性都將繼續(xù)增加,一家負(fù)責(zé)評(píng)估安全和風(fēng)險(xiǎn)管理問題的非營利性協(xié)會(huì):信息安全論壇(ISF)的總經(jīng)理史蒂夫·德賓代表其成員表示說。
“在我看來,2016年可能將會(huì)是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)最為嚴(yán)峻的一年。”德賓說。“我這樣說的原因是因?yàn)槿藗円呀?jīng)越來越多的意識(shí)到這樣一個(gè)事實(shí):即在網(wǎng)絡(luò)運(yùn)營正帶來了其自己的特殊性。”
德賓說,根據(jù)ISF的調(diào)研分析,他們認(rèn)為在即將到來的2016年,五大安全趨勢(shì)將占據(jù)主導(dǎo)。
當(dāng)我們進(jìn)入2016年,網(wǎng)絡(luò)攻擊將進(jìn)一步變得更加具有創(chuàng)新性、且更為復(fù)雜,德賓說:“不幸的是,雖然現(xiàn)如今的企業(yè)正開發(fā)出新的安全管理機(jī)制,但網(wǎng)絡(luò)犯罪分子們也正在開發(fā)出新的技術(shù)來躲避這些安全管理機(jī)制。在推動(dòng)企業(yè)網(wǎng)絡(luò)更具彈性的過程中,企業(yè)需要將他們的風(fēng)險(xiǎn)管理的重點(diǎn)從純粹的信息保密性、確保數(shù)據(jù)信息的完整性和可用性轉(zhuǎn)移到包括風(fēng)險(xiǎn)規(guī)模,如企業(yè)聲譽(yù)和客戶渠道保護(hù)等方面,并充分認(rèn)識(shí)到網(wǎng)絡(luò)空間活動(dòng)可能導(dǎo)致的意想不到的后果。通過為未知的各種突發(fā)狀況做好萬全的準(zhǔn)備,企業(yè)才能過具有足夠的靈活性,以抵御各種意外的、高沖擊性的安全事件。”
德賓說,ISF所發(fā)現(xiàn)的這些網(wǎng)絡(luò)安全威脅趨勢(shì)并不相互排斥。他們甚至可以結(jié)合起來,創(chuàng)造更具破壞性的網(wǎng)絡(luò)安全威脅配置文件。他補(bǔ)充說,我們預(yù)計(jì)明年將為出現(xiàn)新的網(wǎng)絡(luò)安全威脅。
1、國家干預(yù)網(wǎng)絡(luò)活動(dòng)所導(dǎo)致的意外后果
德賓說,在2016年,有官方背景參與的網(wǎng)絡(luò)空間相關(guān)活動(dòng)或?qū)?duì)網(wǎng)絡(luò)安全造成附帶的損害,甚至造成不可預(yù)見的影響和后果。而這些影響和后果的危害程度將取決于這些網(wǎng)絡(luò)活動(dòng)背后所依賴的官方組織。并指出,改變監(jiān)管和立法將有助于限制這些活動(dòng),無論其是否是以攻擊企業(yè)為目標(biāo)。但他警告說,即使是那些并不受牽連的企業(yè)也可能會(huì)遭受到損害。
德賓說:“我們已經(jīng)看到,歐洲法院宣布?xì)W美數(shù)據(jù)《安全港協(xié)議》無效。同時(shí),我們正看到越來越多的來自政府機(jī)構(gòu)關(guān)于重視數(shù)據(jù)隱私的呼吁,盡管某些技術(shù)供應(yīng)商會(huì)表示說,’我們已經(jīng)徹底執(zhí)行了端到端的加密。’但在一個(gè)連恐怖主義都變得日趨規(guī)范的世界里,當(dāng)看到一個(gè)網(wǎng)絡(luò)物理鏈接時(shí),我們要如何面對(duì)這一問題?”
展望未來,企業(yè)必須了解政府部分的相關(guān)監(jiān)管要求,并積極與合作伙伴合作,德賓說。
德賓說:“立法者必須將始終對(duì)此高度重視,并及時(shí)跟上最新網(wǎng)絡(luò)攻擊技術(shù)的步伐,我甚至認(rèn)為立法者本身也需要參與到預(yù)防網(wǎng)絡(luò)安全威脅的過程中來。他們所探討的一直是如何應(yīng)對(duì)昨天已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件,但事實(shí)上,網(wǎng)絡(luò)安全更多的是關(guān)于明天的。”
2、大數(shù)據(jù)將引發(fā)大問題
現(xiàn)如今的企業(yè)在他們的運(yùn)營和決策過程中,正越來越多的運(yùn)用到大數(shù)據(jù)分析了。但這些企業(yè)同時(shí)也必須認(rèn)識(shí)到:數(shù)據(jù)分析其實(shí)是有人為因素的。對(duì)于那些不尊重人的因素的企業(yè)而言,或?qū)⒋嬖诟吖懒舜髷?shù)據(jù)輸出價(jià)值的風(fēng)險(xiǎn),德賓說。并指出,信息數(shù)據(jù)集完整性較差,很可能會(huì)影響分析結(jié)果,并導(dǎo)致糟糕的業(yè)務(wù)決策,甚至錯(cuò)失市場(chǎng)機(jī)會(huì),造成企業(yè)品牌形象受損和利潤損失。
德賓說:“當(dāng)然,大數(shù)據(jù)分析是一個(gè)巨大的誘惑,而當(dāng)您訪問這些數(shù)據(jù)信息時(shí),必須確保這些數(shù)據(jù)信息是準(zhǔn)確的。”這個(gè)問題關(guān)乎到數(shù)據(jù)的完整性,對(duì)我來說,這是一個(gè)大問題。當(dāng)然,數(shù)據(jù)是當(dāng)今企業(yè)的生命線,但是我們真的對(duì)其有充分的認(rèn)識(shí)嗎?”
“現(xiàn)如今,企業(yè)已經(jīng)收集了大量的信息。而最讓我所擔(dān)憂的問題并
不是犯罪份子竊取這些信息,而是企業(yè)實(shí)際上是在以其從來不會(huì)去看的方式來操縱這些數(shù)據(jù)。”他補(bǔ)充道。例如,他指出,相當(dāng)多的企業(yè)已經(jīng)將代碼編寫工作進(jìn)行外包多年了。
他說:“我們并不知道在那些代碼中有沒有可能會(huì)讓您企業(yè)泄露數(shù)據(jù)信息的后門。”事實(shí)上,這是有可能的。而您更需要懷疑的是:不斷提出假設(shè)的問題,并確保從數(shù)據(jù)信息中獲得的洞察分析正是其實(shí)際上所反映的。”
當(dāng)然,您所需要擔(dān)心的并不只是代碼的完整性。您更需要了解所有數(shù)據(jù)的出處。
“如果企業(yè)收集并存儲(chǔ)了相關(guān)數(shù)據(jù)信息,務(wù)必要明白了解其出處。”他說。一旦您開始分享這些數(shù)據(jù),您就是把自己也打開了。您需要知道這些信息是如何被使用的,與誰進(jìn)行了分享,誰在不斷增加,以及這些數(shù)據(jù)是如何被操縱的。”
3、移動(dòng)應(yīng)用和物聯(lián)網(wǎng)
德賓說,智能手機(jī)和其他移動(dòng)設(shè)備迅速普及正在使得物聯(lián)網(wǎng)(IoT)日漸成為網(wǎng)絡(luò)犯罪份子進(jìn)行惡意行為的首要目標(biāo)。隨著攜帶自己的設(shè)備辦公(BYOD)、以及工作場(chǎng)所可穿戴技術(shù)的不斷推出,在未來的一年里,人們對(duì)工作和家庭移動(dòng)應(yīng)用程序的要求會(huì)不斷增加。而為了滿足這一需求的增加,開發(fā)商們?cè)诿媾R強(qiáng)大的工作壓力和微薄的利潤空間的情況下,很可能會(huì)犧牲應(yīng)用程序的安全性,并盡快在未經(jīng)徹底測(cè)試的情況下,以低成本交付產(chǎn)品,導(dǎo)致質(zhì)量差的產(chǎn)品更容易被不法分子或黑客所攻擊。
“不要把這和手機(jī)簡單的相混淆了。”德賓說。移動(dòng)性遠(yuǎn)不只有這么一點(diǎn),智能手機(jī)只是移動(dòng)性的一個(gè)組成部分。
他注意到,越來越多的企業(yè)員工也和他一樣,需要不斷地出差到各地辦公。
“我們沒有固定的辦公室。”他說。上次我登陸網(wǎng)絡(luò)是在一家旅館。而今天則是在別人的辦公環(huán)境。我如何確保真的是我史蒂夫本人登錄的某個(gè)特別的系統(tǒng)呢?我可能只知道這是一款來自史蒂夫的設(shè)備登錄的,或者我相信是史蒂夫的設(shè)備登錄的,但我怎么能夠知道這是否是用史蒂夫的另一款設(shè)備的呢?
企業(yè)應(yīng)做好準(zhǔn)備迎接日益復(fù)雜 的物聯(lián)網(wǎng),并明白物聯(lián)網(wǎng)的到來對(duì)于他們的意義何在,德賓說。企業(yè)的首席信息安全官們(CISO)應(yīng)積極主動(dòng),確保企業(yè)內(nèi)部開發(fā)的各款應(yīng)用程序均遵循了公認(rèn)的系統(tǒng)開發(fā)生命周期方法,相關(guān)的測(cè)試準(zhǔn)備步驟是不可避免的。他們還應(yīng)該按照企業(yè)現(xiàn)有的資產(chǎn)管理策略和流程管理員工用戶的設(shè)備,將用戶設(shè)備對(duì)于企業(yè)網(wǎng)絡(luò)的訪問納入企業(yè)現(xiàn)有管理的標(biāo)準(zhǔn),以創(chuàng)新的方式推動(dòng)和培養(yǎng)員工們的BYOD風(fēng)險(xiǎn)意識(shí)。
4、網(wǎng)絡(luò)犯罪造成的安全威脅風(fēng)暴
德賓說,網(wǎng)絡(luò)犯罪高居2015年安全威脅名單榜首,而這一趨勢(shì)在2016年并不會(huì)減弱。網(wǎng)絡(luò)犯罪以及黑客活動(dòng)的增加,迫使企業(yè)必須遵從不斷提升的監(jiān)管要求,不懈追求技術(shù)進(jìn)步,這使得企業(yè)在安全部門的投資激增,而這些因素結(jié)合起來,可能形成安全威脅風(fēng)暴。那些采用了風(fēng)險(xiǎn)管理辦法的企業(yè)需要確定那些企業(yè)的業(yè)務(wù)部門所最為依賴的技術(shù),并對(duì)其進(jìn)行量化,投資于彈性。
網(wǎng)絡(luò)空間對(duì)于網(wǎng)絡(luò)犯罪分子和恐怖分子而言,是一個(gè)越來越有吸引力的攻擊動(dòng)機(jī)、和賺錢來源,他們會(huì)制造破壞,甚至對(duì)企業(yè)和政府機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)攻擊。故而企業(yè)必須為那些不可預(yù)測(cè)的網(wǎng)絡(luò)事件做好準(zhǔn)備,以便使他們有能力能夠承受住不可預(yù)見的,高沖擊性的網(wǎng)絡(luò)事件。
“我看到越來越多日益成熟的網(wǎng)絡(luò)犯罪團(tuán)伙。”德賓說。他們的組織非常復(fù)雜和成熟,并具有良好的協(xié)調(diào)。我們已經(jīng)看到網(wǎng)絡(luò)犯罪作為一種服務(wù)的增加。這種日益增加的復(fù)雜性將給企業(yè)帶來真正的挑戰(zhàn)。我們真的進(jìn)入了一個(gè)新的時(shí)代,您根本無法預(yù)測(cè)一個(gè)網(wǎng)絡(luò)犯罪是否會(huì)找您。從企業(yè)的角度來看,您要如何防御呢?
問題的部分原因在于,許多企業(yè)仍然還處在專注于保衛(wèi)企業(yè)外部邊界的時(shí)代,但現(xiàn)如今的主要威脅則是由于企業(yè)內(nèi)部的人士,無論其是出于惡意目的或只是無知采取了不當(dāng)?shù)陌踩珜?shí)踐方案,這使得網(wǎng)絡(luò)威脅日漸已經(jīng)開始向外圍滲透了。
“不管是對(duì)是錯(cuò),我們一直是將網(wǎng)絡(luò)犯罪視為是從外部攻擊的角度來看,所以我們?cè)噲D采用防火墻來簡單應(yīng)對(duì)。”德賓說。 “但企業(yè)還存在來自內(nèi)部的威脅。這讓我們從企業(yè)的角度來看,是一個(gè)非常不舒服的地方。”
事實(shí)的真相是,企業(yè)根本無法對(duì)付網(wǎng)絡(luò)犯罪,除非他們采取更具前瞻性的方法。
“幾個(gè)星期前,我在與一名大公司的擁有九年工作經(jīng)驗(yàn)的首席信息安全官交談時(shí),他告訴我說,借助大數(shù)據(jù)分析,他現(xiàn)在已經(jīng)在整個(gè)企業(yè)幾乎完全實(shí)現(xiàn)了可視化。在從業(yè)了九年后,他發(fā)現(xiàn)網(wǎng)絡(luò)罪犯的這種能力也在不斷積累。而我們的做法只是不斷地被動(dòng)反應(yīng),而不是主動(dòng)的防御。”
“網(wǎng)絡(luò)犯罪分子的工作方式卻不是這樣的。”他補(bǔ)充說。“他們總是試圖想出一個(gè)新的方法。我認(rèn)為我們還不擅長打防守。我們需要真正將其提高到同一水平。我們永遠(yuǎn)不會(huì)想出新的方法。而在我們企業(yè)內(nèi)部甚至還存在這樣的想法:即然我們還沒有被攻破,為什么我們要花所有這些錢呢?”
5、技能差距將成為信息安全的一個(gè)無底深淵
隨著網(wǎng)絡(luò)攻擊犯罪份子的能力日益提高,信息安全專家們正變得越來越成熟,企業(yè)對(duì)于信息安全專家的需求越來越多。而網(wǎng)絡(luò)犯罪分子和黑客也在進(jìn)一步深化他們的技能,他們都在努力跟上時(shí)代的步伐,德賓說。企業(yè)的首席信息安全官們需要在企業(yè)內(nèi)部建立可持續(xù)的招募計(jì)劃,培養(yǎng)和留住現(xiàn)有人才,提高企業(yè)網(wǎng)絡(luò)的適應(yīng)能力。
德賓說,在2016年,隨著超連通性的增加,這個(gè)問題將變得更糟。首席信息安全官在幫助企業(yè)及時(shí)獲得新的技能方面將需要更積極。
“在2016年,我認(rèn)為我們將變得更加清楚,也許企業(yè)在其安全部門并沒有合適的人才。”他說。我們知道,企業(yè)有一些很好的技術(shù)人員可以安裝和修復(fù)防火墻等。但真正好的人才則是可以在確保企業(yè)網(wǎng)絡(luò)安全的情況下,滿足業(yè)務(wù)的挑戰(zhàn)和業(yè)務(wù)發(fā)展。這將是一個(gè)明顯的弱點(diǎn)。企業(yè)的董事會(huì)也開始意識(shí)到,企業(yè)網(wǎng)絡(luò)是他們做生意的重要方式。我們還沒有在業(yè)務(wù)和網(wǎng)絡(luò)安全實(shí)踐之間建立起聯(lián)系。”
在某些情況下,企業(yè)根本沒有合適的首席信息安全官會(huì)變得相當(dāng)明顯。而其他企業(yè)也必須問自己,安全本身是否被放在了恰當(dāng)?shù)奈恢谩?/p>
德賓說:“您企業(yè)無法避免每一次嚴(yán)重的事件,雖然許多企業(yè)在事件管理方面做得很好,但很少有企業(yè)建立了一套有組織的方法來評(píng)估哪些是錯(cuò)誤的。”因此,這會(huì)產(chǎn)生不必要的成本,并讓企業(yè)承擔(dān)不適當(dāng)?shù)娘L(fēng)險(xiǎn)。各種規(guī)模的企業(yè)均需要對(duì)此給予高度重視,以確保他們對(duì)于未來的這些新興的安全挑戰(zhàn)做好了充分的準(zhǔn)備,并能夠很好的應(yīng)對(duì)。通過采用一個(gè)切實(shí)的,具有廣泛基礎(chǔ)的,協(xié)作的方式,提高網(wǎng)絡(luò)安全和應(yīng)變能力,政府部門、監(jiān)管機(jī)構(gòu)、企業(yè)的高級(jí)業(yè)務(wù)經(jīng)理和信息安全專業(yè)人士都將能夠更好地了解網(wǎng)絡(luò)威脅的真實(shí)本質(zhì),以及如何快速作出適當(dāng)?shù)姆磻?yīng)。”