盘点将在2018年进一步升级的五大信息安全威胁

至顶网安全频道 11月21日 综合消息： 也许很多朋友将2017年视为数据泄露领域的恐怖一年--不过别着急，真正的"惊喜"也许将出现在2018年。信息安全论坛（简称ISF）是一个专注于网络安全与信息风险管理工作的全球性独立信息安全机构，负责预测可能增加数据泄露事件的影响因素与事件具体数量。而面对2018年，该机构提出了五大全球范围内最值得关注的安全威胁因素。

ISF董事总经理Steve Durbin解释称，"信息安全威胁的影响范围与速度正在给当今最为可靠的组织的真实性与声誉造成危害。在2018年，威胁情况还将日益复杂。具体来讲，威胁活动将根据目标的薄弱环节进行个性化设计，或者根据已经实施的防御措施进行变形。总结而言，未来网络威胁的危害程度将超过以往任何时候。"

Durbin指出，随着数据泄露事故数量的增长，泄露记录量亦将不断提升。正因为如此，对各类规模的企业而言，攻击活动所带来的经济损失将更为可观。Durbin强调称，在网络清理与客户通知等传统领域，将会有一些解决方案能够抵消部分此类成本; 但新的攻击特性将带来其它额外成本--例如涉及越来越多诉讼活动。ISF预测称，愤怒的客户将迫使政府采取更为严格的数据保护立法，而这自然会给企业带来新的成本。

根据ISF方面的报告，推动这一趋势的将是以下五大2018年全球性安全威胁因素：

• 犯罪即服务（简称CaaS）将扩展现有工具与服务。

• 物联网将进一步增加管理外风险。

• 供应链将继续成为风险管理领域中的最弱一环。

• 监管要求会增加关键资产管理工作的复杂性。

• 重大安全事故处理工作无法达到董事会预期。

犯罪即服务

去年，ISF预计CaaS将会迎来新的飞跃，各犯罪集团将进一步发展出与大型私营企业类似的复杂层级、伙伴关系与合作网络。

Durbin表示，这一预测确实拥有理论依据，因为2017年"网络犯罪，特别是犯罪即服务"类活动呈现大幅升温之势。ISF预测，这一态势将在2018年继续。而各犯罪组织将进一步以多样化方式进入新的市场领域，并在全球范围内实现犯罪活动商品化。ISF方面指出，一部分犯罪组织将植根于现有犯罪结构，而其它一些组织将专注于实施网络犯罪行为。

至于明年的主要区别所在？Durbin表示，在2018年，CaaS将允许不具备太多技术知识的"主观网络犯罪分子"购买工具与服务，使其能够实施原本无法进行的攻击活动。

他同时补充称，"网络犯罪已经逐步脱离对大型蜜罐--知识产权与大型银行--的单纯针对。"

在加密勒索软件方面，作为目前最为流行的恶意软件类别，以往网络犯罪分子主要依赖于一种不正当的信任形式使用勒索软件--锁定受害者的计算机，要求对方支付金钱进行赎回，而犯罪分子随后解锁对方计算机。但Durbin指出，这一领域中网络犯罪分子们的"信任"体系正在崩溃。具体来讲，即使支付赎金，受害者们也仍可能无法得到解锁其资产的密钥，或者担心网络犯罪分子再次卷土重来。

与此同时，Durbin表示网络犯罪分子在使用社交工程技术时正变得愈发老练。虽然目标一般指向个人而非企业，但这种攻击仍会对企业造成严重威胁。

他指出，"对我来说，企业与个人之间的界线越来越模糊。个人开始更多被作为企业进行针对。"

物联网

各类组织机构越来越多地使用物联网设备，但大多数此类设备在设计层面的安全性并不可靠。此外，ISF警告称，快速发展的物联网生态系统将越来越缺乏透明度。模糊的条款与条件允许组织机构以客户并不愿接受的方式使用其个人数据。在企业方面，各类组织能够了解到哪些信息正在离开其网络，或者哪些数据正在被智能手机及智能电视等设备悄悄获取及传输--而这无疑构成了新的问题。

一旦发生数据泄露事件，或者发生透明度违规状况，各类组织很可能被监管机构及客户追究责任。而在最糟糕的情况下，工业控制系统中嵌入的物联网设备很可能因安全事故而导致人身伤害甚至死亡。

Durbin指出，"从制造商的角度来看，了解使用模式并了解个人用户显然非常重要。但总体来讲，新的技术载体确实带来了远超以往的威胁因素。"

Durbin同时补充称，"我们该如何保护物联网设备，从而切实保证对其拥有控制能力？在这一领域，未来将会出现更为可靠的安全态势感知解决方案。"

供应链

ISF多年来一直在强调供应链脆弱性问题。正如该组织所言，各方通常会与供应商共享多种有价值的敏感信息。而在进行信息共享时，相关直接控制能力即彻底失效。这意味着此类共享活动会增加信息机密性、完整性或可用性遭受破坏的风险。

Durbin指出，"去年，我们开始看到众多大型制造企业因为供应链受到影响而失去制造能力。"

他补充称，"大家具体所处的行业并不重要，各个行业皆拥有自己的供应链。我们的面临的挑战在于，我们该如何真正了解自己的信息处于生命周期中的哪个阶段？我们又该如何在进行信息共享时保护其完整性？"

到2018年，各类组织机构将需要关注供应链中最为薄弱的环节。尽管我们不可能提前阻止每一项安全违规问题，但大家应与供应商积极配合。Durbin建议采用强大、可扩展且可重复的流程，从而保证保护措施与所面临的风险成正比。各类组织机构必须在现有采购与供应商管理流程当中，引入供应链信息风险管理方案。

监管要求

监管要求将进一步增加企业运营的复杂性。欧盟通用数据保护条例（简称GDPR）将于2018年年初上线，这将为关键资产管理工作增加新的复杂性因素。

Durbin指出，"事实上，通过与相关各方的沟通，我发现GDPR的影响几乎无处不在。这绝不仅仅是一项合规性法案，同时亦要求大家确保在任何时候都能够在企业与供应链体系当中指向个人数据、了解如何管理并保护个人数据，同时必须能够随时立足个人角度--而非监管方--证明这种保护能力。"

他补充称，"我们我们真的要正确实现这一要求，则将不得不改变自身业务的原本运作方式。"

ISF方面指出，满足GDPR要求所带来的额外资源消耗很可能提升合规性与数据管理成本，同时迫使企业将更多精力与投资集中到这方面工作身上。

未达到董事会预期

根据ISF方面的说法，董事会的期望与企业信息安全职能实现能力之间的差距将在新的一年中构成新的威胁。

Durbin指出，"董事会通常能够理解自身业务是在网络空间中进行运作的。但在多数情况下，董事会并不了解安全问题的全部含义。他们认为CISO应对一切拥有掌控能力。事实上，董事会并不了解如何提出正确的问题，而CISO也不知道该如何与董事会或业务领导者进行协商。"

ISF方面表示，董事会认为过去几年来持续提升信息安全预算的作法应该使得CISO与信息安全部门能够立即获得成果。然而，建立完全安全的业务运营体系本身是一个不可能实现的目标。即使明白这一点，董事会的大多数成员仍然不理解即使是在企业本身拥有正确的技能与能力的前提下，对信息安全作出实质性改进仍然需要大量时间。

这种错位意味着，当发生重大事件时，不仅企业本身将受到影响，董事会成员的个人及集体声誉也可能受到严重损害。

Durbin表示，正因为如此，CISO的角色必须迎来变革。

他总结道，"CISO的角色如今负责预测未来威胁态势，而非确保原有防火墙能够继续维持。大家必须预测未来可能出现的威胁并考虑其会对业务造成哪些影响，而后将结论清晰表达给董事会成员。一位优秀的CISO应当是一名卓越的销售人员与一位顾问。如果无法兼得，即虽然身为一名出色的顾问，但大家无法将自己的观点传递给对方并获取认同，那么董事会将继续作为干扰性因素存在。"