信息安全威脅領(lǐng)域一直在發(fā)展進(jìn)化。為幫助人們熟悉領(lǐng)域內(nèi)的風(fēng)景，“信息安全論壇(ISF)”這一為其成員評(píng)估安全和風(fēng)險(xiǎn)管理問(wèn)題的非營(yíng)利性機(jī)構(gòu)每年都會(huì)發(fā)布一份《威脅視野》報(bào)告，向其成員提供未來(lái)2年內(nèi)重大安全威脅的前瞻性考慮。以下內(nèi)容為《威脅視野》上列出的，到2017年為止，您的組織應(yīng)該予以重視的9大威脅。

[[130225]]

技術(shù)顛覆通常被看作是好事，指引人們創(chuàng)建新興市場(chǎng)和價(jià)值網(wǎng)絡(luò)。但這一法則對(duì)壞人也適用。

“我們當(dāng)下所見(jiàn)的很多威脅都是由技術(shù)驅(qū)動(dòng)或制造出來(lái)的。我們常常為顛覆性創(chuàng)新歡欣鼓舞，但從中受益的并非總是好人。”--ISF常務(wù)董事史蒂夫·德賓

一、高速網(wǎng)絡(luò)壓倒防御

低廉的價(jià)格和超高速千兆比特連接性在開(kāi)辟新市場(chǎng)和尋找新商機(jī)上擁有廣闊潛力，尤其是在像遠(yuǎn)程呈現(xiàn)、娛樂(lè)和嵌入式設(shè)備等領(lǐng)域里。但就是這同一套超快的信息通道也為犯罪分子們開(kāi)創(chuàng)了作案新手段。

對(duì)組織的挑戰(zhàn)在于你實(shí)際上是怎樣處理高速網(wǎng)絡(luò)引發(fā)的整個(gè)問(wèn)題。意思是網(wǎng)絡(luò)連接的增強(qiáng)，令系統(tǒng)被特定攻擊和被破壞的可能性增大。

為應(yīng)對(duì)這一威脅，ISF建議與供應(yīng)商進(jìn)行彈性規(guī)劃，并對(duì)嵌入式設(shè)備風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)估。

二、犯罪集團(tuán)已領(lǐng)先一步

有組織的犯罪團(tuán)伙很早就看到了互聯(lián)網(wǎng)的潛力，一直在發(fā)展自身的數(shù)字能力，將他們的犯罪活動(dòng)遷移到網(wǎng)上平臺(tái)。這些攻擊者有著充足的預(yù)算、深厚的技術(shù)支持和高度精密復(fù)雜的工具。

“他們?cè)谙嗷贤ê屠梦覀兇_實(shí)擁有的先進(jìn)技術(shù)建立自己的卓越平臺(tái)上真的非常高效。正好反襯出我們需要在溝通和合作上大幅提高效率了。”

組織需要參與進(jìn)私有威脅信息共享中來(lái)。德賓同時(shí)建議優(yōu)先保護(hù)最高價(jià)值的信息，并對(duì)網(wǎng)絡(luò)保險(xiǎn)的費(fèi)用和收益進(jìn)行評(píng)估。

三、守舊派引發(fā)混亂

過(guò)去幾十年里，制造業(yè)工人承受了技術(shù)進(jìn)步對(duì)自動(dòng)化和效率的提升所帶來(lái)的失業(yè)潮的沉重打擊。今天，自動(dòng)化概念跨越制造業(yè)，滲入社會(huì)生活各方各面。其造成的社會(huì)-經(jīng)濟(jì)不平等很可能導(dǎo)致能摧毀受影響地區(qū)經(jīng)濟(jì)和供應(yīng)鏈的大范圍的社會(huì)動(dòng)蕩。

“我們擔(dān)心在接下來(lái)的兩年里會(huì)開(kāi)始看到由快速技術(shù)進(jìn)步導(dǎo)致的社會(huì)動(dòng)亂激增。個(gè)人的價(jià)值越來(lái)越由其所具有的技能來(lái)決定，如果你的技能點(diǎn)不合時(shí)宜，未來(lái)的社會(huì)中你將過(guò)得艱難。”

為預(yù)防此類威脅，ISF建議在你的公司可能受到?jīng)_擊的地區(qū)進(jìn)行威脅評(píng)估，并重新修訂公司的風(fēng)險(xiǎn)偏好以防關(guān)鍵供應(yīng)商出現(xiàn)的混亂和破壞。

復(fù)雜性帶來(lái)的問(wèn)題

互聯(lián)網(wǎng)原先可能只是設(shè)計(jì)來(lái)作為一種恢復(fù)性措施，但如今我們?cè)絹?lái)越依賴于技術(shù)和網(wǎng)絡(luò)，以致少數(shù)關(guān)鍵領(lǐng)域一旦遭受攻擊或故障就有可能引發(fā)災(zāi)難性后果。

四、依賴關(guān)鍵基礎(chǔ)設(shè)施變得危險(xiǎn)

全球很多社區(qū)依賴關(guān)鍵基礎(chǔ)設(shè)施，而這些關(guān)鍵基礎(chǔ)設(shè)施往往年久失修。更有甚者，某些技術(shù)常常在多個(gè)關(guān)鍵領(lǐng)域扮演支柱角色。

作為例子，德賓談到了國(guó)土安全部在2011所做的一個(gè)研究，研究發(fā)現(xiàn)美國(guó)15個(gè)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)中有11個(gè)依賴GPS作為核心組件。一旦GPS系統(tǒng)崩潰，一切都將停止運(yùn)轉(zhuǎn)。另一個(gè)例子是2013年4月美聯(lián)社推特賬號(hào)被劫持事件。攻擊者用那個(gè)賬號(hào)發(fā)布了一條假消息稱白宮發(fā)生爆炸致使總統(tǒng)受傷，直接導(dǎo)致股市自由落體式暴跌了5分鐘，直至這一謊言被揭穿才止住跌勢(shì)。

為迎戰(zhàn)這一風(fēng)險(xiǎn)，ISF建議升級(jí)你的商業(yè)持續(xù)性計(jì)劃，進(jìn)行經(jīng)常性模擬演練，并對(duì)重要基礎(chǔ)設(shè)施(如云服務(wù))崩潰的影響進(jìn)行評(píng)估。

五、系統(tǒng)性漏洞成為攻擊武器

單一技術(shù)一統(tǒng)江湖會(huì)引領(lǐng)惡意人士找到個(gè)別技術(shù)公司軟件系統(tǒng)的系統(tǒng)漏洞作為攻擊武器，威脅到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的完整性。

“比如說(shuō)，甲骨文公司可以提供各種各樣的應(yīng)用，這些應(yīng)用真心涵蓋了垂直市場(chǎng)和應(yīng)用領(lǐng)域的各方各面。若目標(biāo)對(duì)準(zhǔn)這樣的供應(yīng)商，還真是不得不擔(dān)心。”

而且，世上當(dāng)然不只甲骨文一家。蘋(píng)果iOS、安卓、思科和其他公司的路由器等等系統(tǒng)和設(shè)備的大量應(yīng)用意味著其中任何一種出現(xiàn)漏洞都能造成大范圍的漏洞利用效應(yīng)。

ISF建議拓寬風(fēng)險(xiǎn)評(píng)估，將廣泛應(yīng)用的技術(shù)和供應(yīng)商也納入考慮范圍，并升級(jí)應(yīng)對(duì)系統(tǒng)性漏洞的全局響應(yīng)計(jì)劃。

六、老舊技術(shù)成拖累

現(xiàn)今很多組織都忙于延長(zhǎng)自身技術(shù)的壽命，換句話說(shuō)就是持續(xù)支持老舊技術(shù)。而連接性的增加又意味著老舊技術(shù)將更深層次地暴露在攻擊者眼皮底下。

舉個(gè)例子，直到去年，美國(guó)國(guó)土上95%的自動(dòng)取款機(jī)(ATMs)都還使用Windows XP操作系統(tǒng)，即使微軟已經(jīng)宣布停止對(duì)這一操作系統(tǒng)的支持，包括安全補(bǔ)丁也不再提供。

“此類事件的影響可能會(huì)是維護(hù)費(fèi)用的增加。這將從本就捉襟見(jiàn)肘的IT安全預(yù)算中再揩下一層油。”

ISF建議甄別和評(píng)估你的組織對(duì)老舊技術(shù)的依賴程度。你應(yīng)當(dāng)升級(jí)系統(tǒng)架構(gòu)并為現(xiàn)代化做好準(zhǔn)備。

七、數(shù)字服務(wù)崩潰引發(fā)的死亡

由于數(shù)字系統(tǒng)越來(lái)越多地參與到對(duì)現(xiàn)實(shí)資產(chǎn)的控制中來(lái)，這些系統(tǒng)(如交通和醫(yī)療服務(wù))的崩潰導(dǎo)致可查證的死亡也只是時(shí)間早晚問(wèn)題。這種事件造成的公眾壓力將迫使相關(guān)組織進(jìn)行回應(yīng)。

“僅僅英國(guó)，據(jù)估測(cè)，到2017年將有5例死亡在某種形式上是網(wǎng)絡(luò)導(dǎo)致的。這里的重點(diǎn)不在于數(shù)字，而是，作為一門(mén)生意，作為服務(wù)或產(chǎn)品的供應(yīng)商，你絕對(duì)不想成為那個(gè)需要為這五例死亡中一例負(fù)責(zé)的組織。”

ISF建議評(píng)估對(duì)網(wǎng)絡(luò)-現(xiàn)實(shí)系統(tǒng)的依賴性和負(fù)責(zé)度，并調(diào)整修訂公司溝通和危機(jī)響應(yīng)機(jī)制。

不能自滿

當(dāng)下的組織都太過(guò)于洋洋自得了。他們對(duì)國(guó)際邊界上藏匿的威脅投入的關(guān)注遠(yuǎn)遠(yuǎn)不夠。

八、全球化危及競(jìng)爭(zhēng)和安全

大范圍信息提供者，如谷歌，還在繼續(xù)向全球市場(chǎng)擴(kuò)張。他們?cè)谧陨眍I(lǐng)域的統(tǒng)治地位和商業(yè)競(jìng)爭(zhēng)的缺乏都將導(dǎo)致客戶處于潛在的服務(wù)宕機(jī)的威脅之中。平臺(tái)市場(chǎng)是另一個(gè)例子。蘋(píng)果iOS生態(tài)體系時(shí)至今日已覆蓋了從應(yīng)用生產(chǎn)商到支付網(wǎng)絡(luò)的整個(gè)產(chǎn)業(yè)鏈，令這些企業(yè)都處于蘋(píng)果生態(tài)系崩潰的威脅之中。

ISF建議對(duì)缺乏替代者的霸主供應(yīng)商進(jìn)行風(fēng)險(xiǎn)鑒別和評(píng)估，并尋找和多樣化關(guān)鍵服務(wù)的供應(yīng)商。

九、數(shù)據(jù)泄露的沖擊急劇增加

即使數(shù)據(jù)泄露事件的數(shù)量增多，破壞性上升，組織還是越來(lái)越自滿于應(yīng)對(duì)數(shù)據(jù)泄露的手段。

“公司對(duì)自己處理數(shù)據(jù)泄露的手段正變得越來(lái)越洋洋自得。我們已經(jīng)變得麻木。我們知道這對(duì)股價(jià)不會(huì)有長(zhǎng)期影響。”

短期而言，大范圍的數(shù)據(jù)泄露可能會(huì)導(dǎo)致你在股市上遭受打擊，但只要你能安然渡過(guò)，長(zhǎng)期來(lái)看你的股價(jià)受到的影響幾乎為零。但是，盡管如此，像歐盟這樣的組織正在圍繞個(gè)人可識(shí)別信息(PII)在對(duì)泄密進(jìn)行罰款的基礎(chǔ)上制訂各種規(guī)范。如果你再不摒棄自滿自得，法律法規(guī)上的新舉措很可能就拿你開(kāi)刀了。

ISF建議在所處理數(shù)據(jù)的地點(diǎn)和內(nèi)容上重新審查所有潛在的司法責(zé)任，并保證對(duì)數(shù)據(jù)泄露的責(zé)任都清晰明確地列入了供應(yīng)合同中。

原文地址：http://www.aqniu.com/neo-points/7022.html