信息安全威脅領(lǐng)域一直在發(fā)展進化。為幫助人們熟悉領(lǐng)域內(nèi)的風(fēng)景，“信息安全論壇(ISF)”這一為其成員評估安全和風(fēng)險管理問題的非營利性機構(gòu)每年都會發(fā)布一份《威脅視野》報告，向其成員提供未來2年內(nèi)重大安全威脅的前瞻性考慮。以下內(nèi)容為《威脅視野》上列出的，到2017年為止，您的組織應(yīng)該予以重視的9大威脅。

[[130225]]

技術(shù)顛覆通常被看作是好事，指引人們創(chuàng)建新興市場和價值網(wǎng)絡(luò)。但這一法則對壞人也適用。

“我們當(dāng)下所見的很多威脅都是由技術(shù)驅(qū)動或制造出來的。我們常常為顛覆性創(chuàng)新歡欣鼓舞，但從中受益的并非總是好人。”--ISF常務(wù)董事史蒂夫·德賓

一、高速網(wǎng)絡(luò)壓倒防御

低廉的價格和超高速千兆比特連接性在開辟新市場和尋找新商機上擁有廣闊潛力，尤其是在像遠程呈現(xiàn)、娛樂和嵌入式設(shè)備等領(lǐng)域里。但就是這同一套超快的信息通道也為犯罪分子們開創(chuàng)了作案新手段。

對組織的挑戰(zhàn)在于你實際上是怎樣處理高速網(wǎng)絡(luò)引發(fā)的整個問題。意思是網(wǎng)絡(luò)連接的增強，令系統(tǒng)被特定攻擊和被破壞的可能性增大。

為應(yīng)對這一威脅，ISF建議與供應(yīng)商進行彈性規(guī)劃，并對嵌入式設(shè)備風(fēng)險進行識別和評估。

二、犯罪集團已領(lǐng)先一步

有組織的犯罪團伙很早就看到了互聯(lián)網(wǎng)的潛力，一直在發(fā)展自身的數(shù)字能力，將他們的犯罪活動遷移到網(wǎng)上平臺。這些攻擊者有著充足的預(yù)算、深厚的技術(shù)支持和高度精密復(fù)雜的工具。

“他們在相互溝通和利用我們確實擁有的先進技術(shù)建立自己的卓越平臺上真的非常高效。正好反襯出我們需要在溝通和合作上大幅提高效率了。”

組織需要參與進私有威脅信息共享中來。德賓同時建議優(yōu)先保護最高價值的信息，并對網(wǎng)絡(luò)保險的費用和收益進行評估。

三、守舊派引發(fā)混亂

過去幾十年里，制造業(yè)工人承受了技術(shù)進步對自動化和效率的提升所帶來的失業(yè)潮的沉重打擊。今天，自動化概念跨越制造業(yè)，滲入社會生活各方各面。其造成的社會-經(jīng)濟不平等很可能導(dǎo)致能摧毀受影響地區(qū)經(jīng)濟和供應(yīng)鏈的大范圍的社會動蕩。

“我們擔(dān)心在接下來的兩年里會開始看到由快速技術(shù)進步導(dǎo)致的社會動亂激增。個人的價值越來越由其所具有的技能來決定，如果你的技能點不合時宜，未來的社會中你將過得艱難。”

為預(yù)防此類威脅，ISF建議在你的公司可能受到?jīng)_擊的地區(qū)進行威脅評估，并重新修訂公司的風(fēng)險偏好以防關(guān)鍵供應(yīng)商出現(xiàn)的混亂和破壞。

復(fù)雜性帶來的問題

互聯(lián)網(wǎng)原先可能只是設(shè)計來作為一種恢復(fù)性措施，但如今我們越來越依賴于技術(shù)和網(wǎng)絡(luò)，以致少數(shù)關(guān)鍵領(lǐng)域一旦遭受攻擊或故障就有可能引發(fā)災(zāi)難性后果。

四、依賴關(guān)鍵基礎(chǔ)設(shè)施變得危險

全球很多社區(qū)依賴關(guān)鍵基礎(chǔ)設(shè)施，而這些關(guān)鍵基礎(chǔ)設(shè)施往往年久失修。更有甚者，某些技術(shù)常常在多個關(guān)鍵領(lǐng)域扮演支柱角色。

作為例子，德賓談到了國土安全部在2011所做的一個研究，研究發(fā)現(xiàn)美國15個關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)中有11個依賴GPS作為核心組件。一旦GPS系統(tǒng)崩潰，一切都將停止運轉(zhuǎn)。另一個例子是2013年4月美聯(lián)社推特賬號被劫持事件。攻擊者用那個賬號發(fā)布了一條假消息稱白宮發(fā)生爆炸致使總統(tǒng)受傷，直接導(dǎo)致股市自由落體式暴跌了5分鐘，直至這一謊言被揭穿才止住跌勢。

為迎戰(zhàn)這一風(fēng)險，ISF建議升級你的商業(yè)持續(xù)性計劃，進行經(jīng)常性模擬演練，并對重要基礎(chǔ)設(shè)施(如云服務(wù))崩潰的影響進行評估。

五、系統(tǒng)性漏洞成為攻擊武器

單一技術(shù)一統(tǒng)江湖會引領(lǐng)惡意人士找到個別技術(shù)公司軟件系統(tǒng)的系統(tǒng)漏洞作為攻擊武器，威脅到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的完整性。

“比如說，甲骨文公司可以提供各種各樣的應(yīng)用，這些應(yīng)用真心涵蓋了垂直市場和應(yīng)用領(lǐng)域的各方各面。若目標(biāo)對準(zhǔn)這樣的供應(yīng)商，還真是不得不擔(dān)心。”

而且，世上當(dāng)然不只甲骨文一家。蘋果iOS、安卓、思科和其他公司的路由器等等系統(tǒng)和設(shè)備的大量應(yīng)用意味著其中任何一種出現(xiàn)漏洞都能造成大范圍的漏洞利用效應(yīng)。

ISF建議拓寬風(fēng)險評估，將廣泛應(yīng)用的技術(shù)和供應(yīng)商也納入考慮范圍，并升級應(yīng)對系統(tǒng)性漏洞的全局響應(yīng)計劃。

六、老舊技術(shù)成拖累

現(xiàn)今很多組織都忙于延長自身技術(shù)的壽命，換句話說就是持續(xù)支持老舊技術(shù)。而連接性的增加又意味著老舊技術(shù)將更深層次地暴露在攻擊者眼皮底下。

舉個例子，直到去年，美國國土上95%的自動取款機(ATMs)都還使用Windows XP操作系統(tǒng)，即使微軟已經(jīng)宣布停止對這一操作系統(tǒng)的支持，包括安全補丁也不再提供。

“此類事件的影響可能會是維護費用的增加。這將從本就捉襟見肘的IT安全預(yù)算中再揩下一層油。”

ISF建議甄別和評估你的組織對老舊技術(shù)的依賴程度。你應(yīng)當(dāng)升級系統(tǒng)架構(gòu)并為現(xiàn)代化做好準(zhǔn)備。

七、數(shù)字服務(wù)崩潰引發(fā)的死亡

由于數(shù)字系統(tǒng)越來越多地參與到對現(xiàn)實資產(chǎn)的控制中來，這些系統(tǒng)(如交通和醫(yī)療服務(wù))的崩潰導(dǎo)致可查證的死亡也只是時間早晚問題。這種事件造成的公眾壓力將迫使相關(guān)組織進行回應(yīng)。

“僅僅英國，據(jù)估測，到2017年將有5例死亡在某種形式上是網(wǎng)絡(luò)導(dǎo)致的。這里的重點不在于數(shù)字，而是，作為一門生意，作為服務(wù)或產(chǎn)品的供應(yīng)商，你絕對不想成為那個需要為這五例死亡中一例負責(zé)的組織。”

ISF建議評估對網(wǎng)絡(luò)-現(xiàn)實系統(tǒng)的依賴性和負責(zé)度，并調(diào)整修訂公司溝通和危機響應(yīng)機制。

不能自滿

當(dāng)下的組織都太過于洋洋自得了。他們對國際邊界上藏匿的威脅投入的關(guān)注遠遠不夠。

八、全球化危及競爭和安全

大范圍信息提供者，如谷歌，還在繼續(xù)向全球市場擴張。他們在自身領(lǐng)域的統(tǒng)治地位和商業(yè)競爭的缺乏都將導(dǎo)致客戶處于潛在的服務(wù)宕機的威脅之中。平臺市場是另一個例子。蘋果iOS生態(tài)體系時至今日已覆蓋了從應(yīng)用生產(chǎn)商到支付網(wǎng)絡(luò)的整個產(chǎn)業(yè)鏈，令這些企業(yè)都處于蘋果生態(tài)系崩潰的威脅之中。

ISF建議對缺乏替代者的霸主供應(yīng)商進行風(fēng)險鑒別和評估，并尋找和多樣化關(guān)鍵服務(wù)的供應(yīng)商。

九、數(shù)據(jù)泄露的沖擊急劇增加

即使數(shù)據(jù)泄露事件的數(shù)量增多，破壞性上升，組織還是越來越自滿于應(yīng)對數(shù)據(jù)泄露的手段。

“公司對自己處理數(shù)據(jù)泄露的手段正變得越來越洋洋自得。我們已經(jīng)變得麻木。我們知道這對股價不會有長期影響。”

短期而言，大范圍的數(shù)據(jù)泄露可能會導(dǎo)致你在股市上遭受打擊，但只要你能安然渡過，長期來看你的股價受到的影響幾乎為零。但是，盡管如此，像歐盟這樣的組織正在圍繞個人可識別信息(PII)在對泄密進行罰款的基礎(chǔ)上制訂各種規(guī)范。如果你再不摒棄自滿自得，法律法規(guī)上的新舉措很可能就拿你開刀了。

ISF建議在所處理數(shù)據(jù)的地點和內(nèi)容上重新審查所有潛在的司法責(zé)任，并保證對數(shù)據(jù)泄露的責(zé)任都清晰明確地列入了供應(yīng)合同中。

原文地址：http://www.aqniu.com/neo-points/7022.html