地基開始動搖
未來幾年中,今日數字世界的地基將開始動搖,劇烈動搖。創新與意志兼具的攻擊者,加上公司企業運營方式的深刻變革,甚至能顛覆最強大的機構與組織。只有做好堅實準備的,才能屹立不倒。
到2020年,民族國家將被添加到任何公司企業都必須注意的攻擊者名單中,類似恐怖組織、犯罪集團、激進黑客主義者和普通黑客。無論是單打獨鬥還是聯合出擊,該名單中的每個成員都會比以前更難對付,他們的行動不受地域或法律的限制。而且,技術的進步不僅為公司企業提供了擴張與提效的大好機會,也給這些攻擊者帶來了更好更強大的網絡,為他們發起攻擊提供了更好的武器。
這些重大發展結合上充斥著實質性大額罰款的懲罰性監管環境,結果只有一個:不穩定性。
《威脅地平線2020》 呈現了未來2-3年裡各個地區各行各業的公司企業將會面臨的9大威脅。這些威脅按照日益碎片化的世界中反映日常運營的3個主題被分成了3類。
需在公司範圍內全面應用解決方案和行為監管以應對即將到來的巨大變革。IT和信息安全部門無法獨力解決這方方面面的問題。
想在這急劇變化的環境中勝出,高管們需通過驅動應對威脅的行動來表明其決心與承諾。唯有協同動作,才能夯實基礎,打造真實的適應力。
2018年
1.1 物聯網設備洩露敏感信息
1.2 不透明算法破壞完整性
1.3 流氓政府利用恐怖組織發起網絡攻擊
2.1 重大事件暴露出未滿足的董事會期望
2.2 研究人員對安全漏洞緘口不言
2.3 網絡保險安全網被抽離
3.1 顛覆性公司挑釁政府
3.2 監管規定割裂雲環境
3.3 犯罪能力拉大國際警務方面的差距
2019年
1.1 有預謀的網絡中斷令貿易陷入癱瘓
1.2 勒索軟件劫持物聯網
1.3 特權內部人致重要信息洩露
2.1 自動化虛假消息傳播獲取即時公信力
2.2 假信息影響業績
2.3 被汙染的供應鏈粉碎公司信譽
3.1 監視立法暴露公司秘密
3.2 隱私監管阻礙內部人威脅監視
3.3 急於部署AI導致非預期結果
2020年
1.1 網絡與物理攻擊聯手摧毀業務彈性
1.2 衛星導致地面混亂
1.3 武器化設備令公司企業無力迴天
2.1 量子軍備競賽破壞數字經濟
2.2 人工智能惡意軟件放大攻擊者能力
2.3 對聯網汽車的攻擊將剎車納入操作
3.1 生物特徵識別給出虛幻的安全感
3.2 新監管規定增加風險與合規負擔
3.3 受信任人員洩露公司弱點
《威脅地平線2020》 中包含的主題和威脅總結如下,並附上縱觀整個報告所給出的建議。
主題1: 衝突一觸即發
1.1 網絡與物理攻擊聯手摧毀業務彈性
民族國家和恐怖分子將結合傳統軍事力量與越來越複雜的網絡武器庫,發起能造成重大影響的混合攻擊。
1.2 衛星導致地面混亂
禁用或偽造GPS信號可致人身風險並影響全球旅遊與金融市場。攻擊者還可針對媒體、通信、氣象及軍事功能下手,進一步破壞運營與貿易。
1.3 武器化設備令公司企業無力迴天
想要造成破壞的敵人會利用恆溫器、冰箱、洗碗機、熱水壺等聯網設備中的漏洞,引發用電激增,過載地區電網。
建議:
更新危機管理計劃以應對更廣泛的極端情況。進行場景規劃與訓練。
執行全面風險評估,理清公司衛星通信使用情況。
主題2: 技術超越控制
2.1 量子軍備競賽破壞數字經濟
開發或購入量子計算技術的公司將能打破當前加密標準。而基礎性安全機制被淘汰,所有信息與交易都將突然陷入危險境地。
2.2 人工智能惡意軟件放大攻擊者能力
攻擊者將利用人工智能(AI)的突破,開發出可從周圍環境中學習並發現新漏洞的惡意軟件。
2.3 對聯網汽車的攻擊將剎車納入操作
通過黑掉聯網系統,包括汽車控制系統,攻擊者將能導演威脅人類生命和破壞供應鏈的事故,更不用說影響汽車製造商的信譽和盈利了。
建議:
投資不會被量子計算破解的加密方法,並準備好快速遷移。
投資具備AI技術專長的人,尤其是專精機器學習、惡意軟件分析和逆向工程的。
對供應鏈來一次全面深入的風險評估,瞭解清楚車輛是否安全。
主題3: 壓力扭曲判斷
3.1 生物特徵識別給出虛幻的安全感
公司企業會不知不覺降低訪問控制等級:學會找出高端方法加以繞過的攻擊者會頻繁突破生物特徵識別的限制。
3.2 新監管規定增加風險與合規負擔
對透明度的要求將導致信息被存儲在多個位置,且有第三方介入,會增加數據洩露發生的可能性。同時,新的數據隱私規定會對不合規行為處以重罰,大幅增加數據洩露在財務方面的影響。
3.3 受信任人員洩露公司弱點
給受信任人員增加壓力會導致其中某些人洩露公司弱點。被託付保護信息責任的人容易被攻擊者盯上,或者被引誘濫用手中職權。
建議:
執行風險評估以確定哪些角色和數據關鍵性等級的組合可被何種身份驗證方法使用。
與董事會成員及其他主要利益相關者溝通平衡合規需求與業務風險的複雜性。
識別能夠訪問關鍵或敏感信息的個人及外部實體,驗證並經常重評估這種訪問權是否有必要。
注:本文譯自ISF(信息安全論壇)近期發佈的年度報告簡版
閱讀更多 安全牛 的文章
