每迎来新的一年,网络犯罪活动都变得更为复杂且更具协作特性。为了成功抵抗2015年当中即将全面肆虐的安全威胁,信息安全专家们必须对五种主导性威胁类型做好应对准备。
在信息安全领域,2014年已经成为极不平凡的一年——网络威胁与数据泄露等事故以几乎永无止境之势一波波袭来,给零售业、银行业、游戏网络以及政府机关等行业造成巨大冲击。
虽然2014年即将走向终点,但我们可以预计垭网络威胁在规模、严重程度以及复杂性等方面势必有增无减,信息安全论坛(简称ISF)常务董事Steve Durbin指出——这是一家专门为其成员提供安全性评估与风险管理问题解决方案的非营利性协会。
展望步步走来的2015年,Durbin表示ISF为接下来的一年整理出五大将占据主导性的安全发展趋势。
Durbin解释称,“对我来说,安全问题本身并不会出现颠覆性的全新变化,新形势主要表现在此类威胁的复杂性与精密程度方面。”
1.网络犯罪
互联网已经成为一片吸引力越来越大的犯罪分子、激进分子乃至恐怖分子的淘金地,他们在这里通过各种非法手段赚取收益,甚至包括通过在线攻击活动中断甚至导致企业及政府业务全面停机
当下网络犯罪活动主要由前苏联各成员国所发起。这些国家拥有水平极高的相关技能并配备高度现代化工具——正如Durbin所指出,他们通常会利用二十一世纪工具冲击于二十世纪构建而成的系统。
“2014年,我们发现网络犯罪活动显示出更高级别的协作水平与更令人担忧的技术层级,而很多大型组织机构还完全没有意识到这一点,”Durbin指出。
“2015年,企业必须为预期之外的安全问题做好准备,从而保证自身有能力承受无法预料且影响极大的相关事故,”他进一步补充称。“随着网络规模的持续 增长、合规性保障的必要成本不断提升以及针对现有安全保护措施的攻击技术投入的进一步加大,网络犯罪活动将掀起一股安全威胁新高潮。企业需要对业务依赖性 关系做出更为明确的定性,从而更好地实现业务用例的弹性投资量化效果,最终最大程度削减意外状况带来的实际影响。”
2. 隐私与监管
大部分政府机关已经创建出或者正在逐步创建相关规章制度,旨在保证个人可识别信息(简称PII)资产的维护与使用,而未能确切遵循相关要求并对上述信息 加以保护的组织则面临着遭受惩罚的风险。有鉴于此,Durbin指出,组织需要将隐私作为一项合规性与业务风险问题进行考量,从而减少监控制裁以及各类业 务成本——例如企业信誉受损以及因隐私侵犯导致的客户流失状况。
而全球范围内不同区域所采取的监管机制在彼此结合与杂糅之后,也很可能在2015年让企业面临更为沉重的安全保障性负担。
“我们发现已经有越来越多的监管性计划开始将信息收集、存储以及使用机制同针对数据丢失与泄露通知所采取的惩罚性手段结合在一起,此类情况在欧盟地区表 现得尤其明显,”Durbin表示。“希望这一趋势能够得到进一步持续与发展,从而在安全效能之外,从法规、人力资源以及中层管理角度对安全监督加以强 化。”
他还补充称,企业应当关注欧盟对于数据泄露法规与隐私保护制度视为基准性参考标准,并据此组织起相应的安全规划。
“监管机构与政府部门正积极参与其中,”他指出。“而这给企业带来了更为沉重的负担。企业需要为此配备更为丰富的应对性资源,并需要深入了解安全态势的 发展状况。如果大家所在企业中已经聘请了内部法律顾问,那么他们发挥作用的时候就是现在。如果还没有聘请此类人员,则需要尽快将其纳入成本规划。”
3.来自第三方供应商的安全威胁
供应链是每一家企业在全球性业务运营体系当中的重要组成部分,甚至已经成为全球经济体验中的支柱与主干。然而正如Durbin所言,安全事务负责人们已 经开始越来越多地关注自身企业在面对无数风险因素时的开放程度。供应商往往能够共享到一系列有价值甚至是敏感性信息,而在信息处于共享状态时、与之相关的 直接控制机制也将失去效力。这无疑将导致信息在保密性、完整性以及可用性等层面面临更为严重的安全风险。
即使是看似无害的连接也可能充当着攻击活动的实质性引导角色。攻击Target的犯罪分子就是利用该公司HVAC供应商用于提交发票信息的的Web服务应用程序实施恶意活动的。
“在未来一年中,第三方供应商将进一步面临来自针对性攻击活动的威胁压力,而且很可能无法保障其所涉及数据的机密性、完整性以及/或者可用 性,”Durbin表示。“各类规模的企业都需要认真考量供应商带来负面意外状况的可能性,其中具体涉及知识产权、客户或员工信息、商业计划或者谈判内容 等等。而这类思路对于负责制造或者分发的合作伙伴也同样适用。我们还应将专业服务供应商、律师以及会计人员视为潜在高风险群体,因为他们往往也能轻松访问 到最具价值的数据资产。”
Durbin补充称,信息安全专家应当与负责按照合约提供服务的供应方保持更为紧密的合作关系,并从尽职性调查的角度出发对潜在威胁进行彻底排查。
“当务之急在于,企业需要构建起稳固的业务持续性规划、从而改善相关弹性并提振高管团队对于功能交付能力的信心,”他指出。“一套结构良好的供应链信息 风险评估方案能够提供详尽的分步式实施方法,从而将艰巨的项目管理工作拆分成一个个易于完成的步骤性目标。此类方案应该由信息驱动而非以供应商为中心,因 此能够在不同企业环境下具备可扩展能力与可重复利用特性。”
4.办公环境中的BYOx趋势
“自带xx(即BYOx)”趋势已经客观存在,无论企业或组织是否认同,Durbin表示,而且就目前来看、几乎没有多少企业能够真正就此开发出良好的指导性政策方案。
“随着员工不断将自有移动设备、应用程序、基于云环境的存储机制以及办公环境访问机制引入企业环境,各类规模的组织逐渐发现防范信息安全风险的工作难度 已经达到前所未有的新高度,”他指出。“此类风险贯穿企业内部与外部,包括设备本身管理不善、针对软件漏洞的外部利用以及未经严格测试且非可靠性业务应用 的部署等等。”
他同时指出,如果大家发现目前所在企业中的BYOx类风险过高,则至少需要确保对事态的进一步发展保持关注与了解。如果大家认为此类风险尚在可接受范围之内,那么以此为基础建立一套具备良好架构的BYOx实施方案也未尝不可。
“请记住,如果实施手段存在问题,那么办公环境下的个人设备战略很可能面临着意外泄露事故的侵扰,其中包括工作与个人数据边界模糊以及大量业务信息由未受保护的消费级设备所保存及访问,”他补充称。
Durbin同时指出,实际上我们做好应对最差情况的准备,即在制定反BYOx管理政策的情况下、用户仍然想尽一切办法利用自有设备处理日常工作。
“这有点像尝试阻扼浪潮涌动,”他表示。“虽然用一点沙子就能暂时挡住其冲击,但水流总能找到突破的方式。用户的力量在现代办公环境下实在太过巨大。”
5. 致力于人为因素的控制
谈到这一话题,我们就不能不提每家企业当中规模最庞大的资产兼且最为脆弱的目标:人。
在过去几十年中,企业已经花费成百上千万、甚至数十亿美元推动信息安全意识的普及工作。Durbin指出,这种作法的深层理由在于,企业意识到人作为业 务活动中基本要素的巨大影响能力,并希望利用此类方案改变其行为方式、从而依靠每一位员工对于职责及正确实践方式的认知对抗各类潜在安全风险。
不过残酷的事实已经并仍在不断证明,这种价值主张根本无从实现,Durbin强调称。相反,企业需要以更为积极主动的安全态度调整自身业务流程,将员工由风险根源转化为企业安全事务中的第一道强大防线。
“随着2015年的逐渐来临,企业需要转变思维、由以往的问题发现转化为创建对应解决方案并将能够切实消减风险程度的信息安全保障手段融入其 中,”Durbin表示。“风险真实存在,因为人们的实际表现仍是个‘未知数’。很多企业已经意识到人力是其规模最为庞大的资产类型,而大部分员工仍然无 法清醒意识到‘人为因素’在信息安全领域中的重要地位。从本质角度看,人为因素应当是一家企业强大控制体系中的重要甚至核心组成部分。”
“相对于单纯要求员工了为相关信息安全负责并掌握应对措施,各类规模企业真正该做的是引入积极的信息安全控制手段,从而将‘三思而后行’作为组织中信息 安全文化中的一大良好习惯与立足根基,”Durbin指出。“尽管多数企业都拥有现成的合规性实施方案,但‘安全意识’的缺失往往使其无法切实起效。真正 的商业性驱动力应该在于风险本身以及如何利用新型应对方式降低此类风险。”
原文出处:security.zdnet.com.cn/security_zone/2014/1217/3041927.shtml