信息安全威胁领域一直在发展进化。为帮助人们熟悉领域内的风景,“信息安全论坛(ISF)”这一为其成员评估安全和风险管理问题的非营利性机构每年都会发布一份《威胁视野》报告,向其成员提供未来2年内重大安全威胁的前瞻性考虑。以下内容为《威胁视野》上列出的,到2017年为止,您的组织应该予以重视的9大威胁。
[[130225]]
技术颠覆通常被看作是好事,指引人们创建新兴市场和价值网络。但这一法则对坏人也适用。
“我们当下所见的很多威胁都是由技术驱动或制造出来的。我们常常为颠覆性创新欢欣鼓舞,但从中受益的并非总是好人。”–ISF常务董事史蒂夫·德宾
一、高速网络压倒防御
低廉的价格和超高速千兆比特连接性在开辟新市场和寻找新商机上拥有广阔潜力,尤其是在像远程呈现、娱乐和嵌入式设备等领域里。但就是这同一套超快的信息通道也为犯罪分子们开创了作案新手段。
对组织的挑战在于你实际上是怎样处理高速网络引发的整个问题。意思是网络连接的增强,令系统被特定攻击和被破坏的可能性增大。
为应对这一威胁,ISF建议与供应商进行弹性规划,并对嵌入式设备风险进行识别和评估。
二、犯罪集团已领先一步
有组织的犯罪团伙很早就看到了互联网的潜力,一直在发展自身的数字能力,将他们的犯罪活动迁移到网上平台。这些攻击者有着充足的预算、深厚的技术支持和高度精密复杂的工具。
“他们在相互沟通和利用我们确实拥有的先进技术建立自己的卓越平台上真的非常高效。正好反衬出我们需要在沟通和合作上大幅提高效率了。”
组织需要参与进私有威胁信息共享中来。德宾同时建议优先保护最高价值的信息,并对网络保险的费用和收益进行评估。
三、守旧派引发混乱
过去几十年里,制造业工人承受了技术进步对自动化和效率的提升所带来的失业潮的沉重打击。今天,自动化概念跨越制造业,渗入社会生活各方各面。其造成的社会-经济不平等很可能导致能摧毁受影响地区经济和供应链的大范围的社会动荡。
“我们担心在接下来的两年里会开始看到由快速技术进步导致的社会动乱激增。个人的价值越来越由其所具有的技能来决定,如果你的技能点不合时宜,未来的社会中你将过得艰难。”
为预防此类威胁,ISF建议在你的公司可能受到冲击的地区进行威胁评估,并重新修订公司的风险偏好以防关键供应商出现的混乱和破坏。
复杂性带来的问题
互联网原先可能只是设计来作为一种恢复性措施,但如今我们越来越依赖于技术和网络,以致少数关键领域一旦遭受攻击或故障就有可能引发灾难性后果。
四、依赖关键基础设施变得危险
全球很多社区依赖关键基础设施,而这些关键基础设施往往年久失修。更有甚者,某些技术常常在多个关键领域扮演支柱角色。
作为例子,德宾谈到了国土安全部在2011所做的一个研究,研究发现美国15个关键基础设施系统中有11个依赖GPS作为核心组件。一旦GPS系统崩溃,一切都将停止运转。另一个例子是2013年4月美联社推特账号被劫持事件。攻击者用那个账号发布了一条假消息称白宫发生爆炸致使总统受伤,直接导致股市自由落体式暴跌了5分钟,直至这一谎言被揭穿才止住跌势。
为迎战这一风险,ISF建议升级你的商业持续性计划,进行经常性模拟演练,并对重要基础设施(如云服务)崩溃的影响进行评估。
五、系统性漏洞成为攻击武器
单一技术一统江湖会引领恶意人士找到个别技术公司软件系统的系统漏洞作为攻击武器,威胁到互联网基础设施的完整性。
“比如说,甲骨文公司可以提供各种各样的应用,这些应用真心涵盖了垂直市场和应用领域的各方各面。若目标对准这样的供应商,还真是不得不担心。”
而且,世上当然不只甲骨文一家。苹果iOS、安卓、思科和其他公司的路由器等等系统和设备的大量应用意味着其中任何一种出现漏洞都能造成大范围的漏洞利用效应。
ISF建议拓宽风险评估,将广泛应用的技术和供应商也纳入考虑范围,并升级应对系统性漏洞的全局响应计划。
六、老旧技术成拖累
现今很多组织都忙于延长自身技术的寿命,换句话说就是持续支持老旧技术。而连接性的增加又意味着老旧技术将更深层次地暴露在攻击者眼皮底下。
举个例子,直到去年,美国国土上95%的自动取款机(ATMs)都还使用Windows XP操作系统,即使微软已经宣布停止对这一操作系统的支持,包括安全补丁也不再提供。
“此类事件的影响可能会是维护费用的增加。这将从本就捉襟见肘的IT安全预算中再揩下一层油。”
ISF建议甄别和评估你的组织对老旧技术的依赖程度。你应当升级系统架构并为现代化做好准备。
七、数字服务崩溃引发的死亡
由于数字系统越来越多地参与到对现实资产的控制中来,这些系统(如交通和医疗服务)的崩溃导致可查证的死亡也只是时间早晚问题。这种事件造成的公众压力将迫使相关组织进行回应。
“仅仅英国,据估测,到2017年将有5例死亡在某种形式上是网络导致的。这里的重点不在于数字,而是,作为一门生意,作为服务或产品的供应商,你绝对不想成为那个需要为这五例死亡中一例负责的组织。”
ISF建议评估对网络-现实系统的依赖性和负责度,并调整修订公司沟通和危机响应机制。
不能自满
当下的组织都太过于洋洋自得了。他们对国际边界上藏匿的威胁投入的关注远远不够。
八、全球化危及竞争和安全
大范围信息提供者,如谷歌,还在继续向全球市场扩张。他们在自身领域的统治地位和商业竞争的缺乏都将导致客户处于潜在的服务宕机的威胁之中。平台市场是另一个例子。苹果iOS生态体系时至今日已覆盖了从应用生产商到支付网络的整个产业链,令这些企业都处于苹果生态系崩溃的威胁之中。
ISF建议对缺乏替代者的霸主供应商进行风险鉴别和评估,并寻找和多样化关键服务的供应商。
九、数据泄露的冲击急剧增加
即使数据泄露事件的数量增多,破坏性上升,组织还是越来越自满于应对数据泄露的手段。
“公司对自己处理数据泄露的手段正变得越来越洋洋自得。我们已经变得麻木。我们知道这对股价不会有长期影响。”
短期而言,大范围的数据泄露可能会导致你在股市上遭受打击,但只要你能安然渡过,长期来看你的股价受到的影响几乎为零。但是,尽管如此,像欧盟这样的组织正在围绕个人可识别信息(PII)在对泄密进行罚款的基础上制订各种规范。如果你再不摒弃自满自得,法律法规上的新举措很可能就拿你开刀了。
ISF建议在所处理数据的地点和内容上重新审查所有潜在的司法责任,并保证对数据泄露的责任都清晰明确地列入了供应合同中。
原文地址:http://www.aqniu.com/neo-points/7022.html
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/142935.html<
