信息安全威胁环境一直都在演变。为了提供应对帮助,致力于研究与分析安全与风险管理问题的非营利组织信息安全论坛(ISF)每一年都会发布Threat Horizon报告,对未来两年最大的安全威胁进行前瞻。下面就一起来了解以下未来两年(至2019年)最大的九个信息安全威胁,希望可以为您的企业提供管理依据,降低网络安全风险。
如今的企业非常依赖即时且不间断的网络连接,而这种依赖性使其核心网络基础设施以及日常业务中使用的设备极易遭受网络攻击。
ISF总经理史蒂夫·杜宾(Steve Durbin)表示:“当今社会,人们对互联网的依赖程度不断加深,如果遭遇突然断电的情况,就会带来很多问题。为了保护自身信息安全,Durbin认为,组织需要重新思考其防御模式,特别是关于业务连续性和灾难恢复计划。
ISF建议修订的计划需要涵盖对物理安全的威胁以及对基础设施,设备或人员实施攻击造成的操作停机现象等。
1. 有预谋的互联网中断导致贸易瘫痪
随着全球冲突数量和程度的不断增加,ISF预测,在未来两年内,国家和其他组织将寻求新的方式造成大规模的网络服务中断,包括当地甚至地区层面上的互联网服务中断。而商业和政府机构可能会成为最大的攻击目标,而一旦这些机构的通信系统发生故障,就会导致贸易瘫痪,相关行业就会损失数百万美元。
Durbin表示,鉴于“即时”供应链模式日益普及,即使是短暂的服务中断也会造成严重的后果。同时,金融服务机构也深受该威胁影响,针对该机构的网络中断可能会造成“瀑布效应(即连锁故障效应)”。例如,一旦清算所(结算付款的机构)失去网络连接,所有行业内的机构都会失去发送或接收付款的能力。即使是像执法部门这种政府服务机构也非常依赖网络通信的连通性。
该领域的攻击可能涉及物理切割电缆(可能是海底电缆,维修需要花费大量时间)、使根DNS或数据中心无法运行、利用僵尸网络发动大规模DDoS攻击,甚至是操纵互联网地址和路由器以确保流量无法到达指定的目的地。
ISF表示,这种攻击引起的混乱需要中央政府通过国家重要基础设施项目进行协调。个体组织也必须了解其对互联网的依赖程度,并制定相关政策以解决频繁发生此类攻击的风险。
2. 勒索软件劫持物联网设备
通过加密受害者数据,随后勒索受害者支付赎金换取加密密钥的行为,使得犯罪分子获利良多。根据赛门铁克去年发布的一份报告显示,犯罪分子勒索的赎金数量从2015年的294美元已经上涨到了2016年的679美元。美国联邦调查局去年估计,2016年底,网络犯罪分子通过勒索软件攻击获取的利润已经高达约10亿美元。
ISF认为,在未来两年,网络犯罪分子将越来越多地将勒索软件攻击重点放在连接到物联网(IoT)的智能设备上。攻击者可以攻击特定的设备索要赎金,但ISF认为他们也会使用这些物联网设备作为跳板,进而入侵整个组织中的其他设备和系统再索要赎金。
这种攻击不仅会破坏业务运作和自动化生产线,一旦攻击者将攻击目标瞄准医疗设备或车辆,它带来的危害可能是致命的。
Durbin表示,联网设备的制造商需要与客户合作解决安全漏洞问题,所有企业都必须明确他们当前使用了哪些联网设备?未来计划增加哪些设备?以及如果一个或多个联网设备受到勒索软件攻击时会造成什么影响?
ISF建议您采取如下措施:
给制造商(例如通过行业机构)施压以确保将全面的安全功能构建到了设备之中;
与行业机构共同监管以确保物联网设备符合最基本的安全标准;
规定采购物联网设备的最低安全要求;
将与物联网相关的勒索软件场景并入企业的业务连续性规划中并进行常规模拟;
与制造商和客户合作,收集有关您所使用的物联网设备的威胁情报;
3. 特权内部人员被迫泄漏信息
您的业务模式可能是高科技和数字化的,但是您的员工却存在于实体世界中,这使得他们成为敲诈勒索、恐吓和暴力威胁的受害者。ISF表示,在接下来的两年中,资金充足的犯罪组织将把其全球影响力和数字专长与真正的暴力威胁相结合,威胁拥有特权的内部员工泄漏关键信息资产(如财务细节、知识产权以及战略计划等)。
这些特权内部人员可能是高级业务经理或其他高管,也可能是这些人的个人助理、或系统管理员、基础设施架构师、网络支持工程师甚至是特定的外部承包商等。
为了保护自己免受这种威胁,ISF建议您采取如下措施:
明确您的关键信息资产以及拥有并能够访问这些信息的人员;
对拥有特殊访问权的个人采取特殊的防护措施,例如,物理安全防御措施指导、了解社会工程的相关手段和防御措施等;
制定防御机制,保护您的组织免受内部威胁,例如,筛选应聘人员并在雇佣合约中加入适当的条款;
对内部特权人员采取信任但验证的方法,例如,培养信任文化,同时对访问系统行为进行适当地验证和监控。
为了做出正确的决策,需要依赖非常准确可靠的信息。如果信息的完整性遭到破坏,你的业务也必将受到破坏。最近这个问题已经逐渐凸显,但是目前“虚假信息”的问题还主要聚焦在政治家身上。ISF认为,在未来两年内,攻击者将传播谎言或虚假的内部消息,以牺牲目标企业名誉或作战效能为代价获取竞争优势或金融优势。
Durbin说:“随着数据量的急剧增长,没有人能够真正做到绝对确保数据完整性的程度。企业可以通过主动手段来减少错误信息带来的影响:通过监控他人在网络上对企业发表的看法,以及跟踪内部信息的变化来提供预警信号。”
4. 自动化传播错误信息损坏企业信誉
人工智能角色的发展使得各种机器人聊天室应运而生,攻击者能够使用这些聊天室来传播针对商业组织的虚假信息:攻击者并不会破坏目标组织的数字边界,而是传播有关目标组织工作实践或产品方面的虚假信息来破坏该组织的名誉。一个攻击者通常可以部署数百个聊天室,每个都可以在社交媒体或信息站点上传播恶意信息和谣言。
此类攻击不仅仅针对目标企业的名誉,同时还可以用来操作目标企业的股价。德国支付公司Wirecard AG发现,去年二月份,一份有关该公司“详细”欺诈活动的报告发布后(虽然报告后来被证明是假的),该公司的股价暴跌了三个月。
你无法阻止聊天机器人传播有关公司的虚假信息,但是及时识别威胁和制定事件响应计划可以减轻损害。
为了保护您的组织,ISF建议您执行以下操作:
将虚假信息传播纳入整体事件管理方案中;
在大型企业公告或信息发布前后扩大对社会媒体的监控;
结合行业机构的力量,请求政府和监管机构调查并起诉传播虚假信息的人;
考虑增加现有的社会媒体支出,主动打击虚假信息的传播,如鼓励员工传播合法的新闻并举报可疑的帖子等;
5. 伪造的信息损害变现日显
组织越来越依赖数据推动决策的制定,这就意味着,犯罪分子和竞争对手可以将虚假信息纳入其威胁工具库中。ISF认为,在未来两年内,三种对信息完整性的攻击将变得司空见惯:
扭曲分析系统使用的大数据集;
操纵财务记录和报告,或银行账户的详细信息;
数据泄漏前对信息进行修改;
例如,对于一个公用事业单位而言,可以通过分析智能电表的数据来平衡其生成的电量与当前需求相匹配。如果攻击者操纵智能电表数据,使其显示出虚假的高需求量,就会导致发电量激增,而一旦供应大过需求太多就会导致供电电网出现故障。
虚假或篡改的数据还可能会对药物研究产生重大影响,现在,药物研究越来越多地转向大数据分析,以提升新药的建模和试用速度。而这些数据一旦被攻击者操纵将带来不可估计的后果。
为了预防这种威胁,ISF建议您采取以下措施:
采取措施验证和维护关键数据库的完整性;
将泄漏信息完整性的情景纳入公司业务风险评估中,让整个组织中的利益相关者衡量其业务影响;
与同行合作,分享有关信息完整性的威胁情报;
在公开提供任何事实证据对抗虚假信息之前,咨询法律专业人士意见;
使用联合身份和访问管理(FIAM)系统和内容管理系统(CMS)等工具对访问和更改敏感信息的行为进行监控;
6. 区块链技术(blockchain)面临信任危机
关于什么是区块链技术,用通俗的话阐述就是,如果我们把数据库假设成一本账本,读写数据库就可以看做一种记账的行为,区块链技术的原理就是在一段时间内找出记账最快最好的人,由这个人来记账,然后将账本的这一页信息发给整个系统里的其他所有人。这也就相当于改变数据库所有的记录,发给全网的其他每个节点,所以区块链技术也称为分布式账本(distributed ledger)。
目前世界各地均在对其进行研究,并开始将其广泛应用于金融等各领域。Don Tapscott表示,到2019年,全球65%的顶级银行将实现大规模的区块链实践。
但是,Durbin指出,像其他任何技术一样,区块链也存在被攻击的危险。潜在的漏洞包括脆弱的加密和密钥管理、落后的编写程序、错误的权限许可以及业务规则不完善等问题。而且一旦区块链遭到破坏,受影响进程中的客户、高级管理层以及信任用户都将遭到损害,且需要大量的努力进行重建。
受损的区块链可能会导致未经授权的交易或数据泄漏、资产转移、欺诈甚至验证欺诈性交易等。
为了避免这种威胁,ISF建议您执行以下操作:
组织一个赞助商或指导委员会,广泛征求意见并决定是否采用区块链技术;
培训员工如何安全使用区块链技术,并检测可疑活动;
使用区块链来评估外部第三方的安全控制,例如,审核其安全控制强度(包括加密密钥的管理和访问控制措施等);
与行业机构和专家交流,制定良好的安全事件准则;
咨询法律专业人士了解使用区块链技术的合同含义;
在基于区块链的应用程序的设计、实现和操作过程中纳入信息安全的要求;
考虑分散式区块链系统对现有管理流程的影响;
ISF认为,在过去两年内,智能技术的快速发展以及国家对个人隐私和安全意识的提高将导致企业控制自身信息的能力不断削减。
Durbin表示,旨在提高国家安全监管的新法律将要求通信供应商收集可能揭露企业秘密的数据。而这些存储重要数据的企业可能会沦为攻击者最有利的目标。
与此同时,Durbin还表示,像欧盟制定的《一般数据保护法案(GDPR)》将使受到监管的机构更难监控内部人的行为。GDPR要求组织公开其用来监控用户行为的工具,如此一来,恶意内部人员就可以掌握足够的信息来绕过此类监控。
尽管这些因素都不是你能直接控制的,但是业务和安全领导者可以通过进行风险评估,与通信供应商进行公开谈判来预防这些威胁,并咨询法律顾问充分了解新法规的影响,组建一批顺应先进技术要求的劳动力。
7. 监管法暴露企业机密
一些政府已经开始制定监管法,要求通信供应商收集并存储与电子和信息通信相关的数据,ISF预计未来两年这种趋势将会持续。
这类立法的目的可能是为了识别和监控恐怖分子和其他相关团体的活动,但是这些数据收集不可避免地会涉及一些机密信息,包括各组织机构的敏感数据等。
ISF注意到,攻击者也已经注意到这些数据的价值,并了解从哪里以及如何能够获取到这些数据。这些数据可能涉及并购计划、正在开发的知识产权以及新产品的细节等信息。
为保护您的组织,ISF建议您采取以下措施:
开展组织协作进行风险评估,以了解通信供应商丢失元数据会造成的影响;
与通信供应商沟通,确定责任承担事宜并确定元数据安全存储的最低要求;
与通信供应商沟通,确定通过何种方式以及何时通知你相关的入侵行为,共
同合作以降低影响;
8. 隐私条例阻碍对内部威胁的监控
根据McAfee在2015年发布的一项研究显示,该年度有43%的数据泄露是由内部人员造成的,包括用户、经理、IT专业人员和承包商。由此以来也促使用户行为分析(UBA)工具变得越来越受欢迎:Market And Markets Research 2016年发布的一份报告预测称,UBA工具的销售额将从2016年的1.137亿美元增长到2021年的9.083亿美元,增长近600%。
但ISF表示,新的隐私条例——如欧盟GDPR、韩国个人信息保护法(PIPA)、香港个人隐私条例以及新加坡个人资料保护法等的出台,限制了这些工具的使用。法规明确要求雇主必须公开监控用户行为所使用的工具。Durbin指出,透明度和创造信任文化虽好,但这些规定将帮助恶意内部人员摆脱UBA工具监控。
为了解决内部威胁和新法规的冲突,ISF建议您采取以下措施:
9. 盲目地部署AI导致意想不到的后果
AI系统是自动化方面的重大创新,独立的学习能力将使它们能够从制造到营销和咨询等各领域自动化吸收日益复杂且不重复的任务。但是,Durbin指出,AI现在还正处于探索发展的阶段,可能会存在很多错误:例如,从错误或不完整的信息中学习可能会得出不准确的结论。
而一旦这些结论运用到可能影响组织名誉和业务的环境中,就会造成无法预计的后果,例如:智能助手一旦读取了错误的对话或误解指令,就会导致订单处理失误等后果。
为了保护您的组织免受此威胁,ISF建议您采取以下几个步骤:
信息安全威胁环境日益复杂多变,前瞻性的安全预测将有助于企业机构提前做好防范措施,希望本文能够给你一些启示,而两年后的信息安全环境究竟会如何?安在将与你共同见证……
智者大潘 |谭晓生| 龚蔚| 季昕华|韩争光 |云舒 | 妇科圣手TK |方小顿 |林伟|吴翰清 |黄鑫 |姜开达 |谈剑峰 |金湘宇|方兴|孙小美 |刘春泉|马杰|段海新 |董志强|白健 |张照龙| 杜跃进 |范渊 | Coolfire|赵武
