每天都有新聞報道描述著新技術對人們的生活和工作方式帶來的巨大乃至壓倒性影響。諸如人工智能(AI)和物聯(lián)網(wǎng)(IoT)等術語正在迅速成為日常用語，而且無論人們喜歡與否，有關它們的部署計劃將于未來幾年在商業(yè)領袖們的議程上占據(jù)重要位置。

[[225880]]

有關網(wǎng)絡攻擊和數(shù)據(jù)泄露的頭條新聞也是日益頻繁。攻擊者可謂無處不在：企業(yè)外部充斥著黑客、有組織的犯罪團體以及民族國家網(wǎng)絡間諜，他們的能力和蠻橫程度正日漸增長;企業(yè)內(nèi)部是員工和承包商，無論有意與否，他們都可能是造成惡意或意外事件的罪魁禍首。

對于前進的方向，企業(yè)領導人總是會感到不確定。但這種困境往往是非常容易判斷的：他們是應該急于采用新技術，以便在出現(xiàn)問題時大幅降低風險，或是選擇等待并由此可能失去有力的競爭地位在?這種抉擇應該很明確吧!

新的攻擊將影響企業(yè)的商業(yè)信譽和股東價值，且網(wǎng)絡風險存在于企業(yè)的各個方面。在前不久舉行的信息安全論壇上，最新發(fā)布了主題為《威脅展望2020》的報告，為互聯(lián)網(wǎng)世界將面臨的新興威脅給出了前瞻性預測。在《威脅展望2020》中，研究了未來兩年信息安全即將面臨的九大安全威脅，下面讓我們一起了解一下這些威脅的具體內(nèi)容，及其將會對企業(yè)或機構造成何種影響：

1. 網(wǎng)絡攻擊與物理攻擊結合 危及生命摧毀商業(yè)

物理和網(wǎng)絡攻擊將同時部署，造成前所未有的破壞。許多民族國家行為者和恐怖組織(或兩者共同努力)將有能力匯集其全部武裝力量(包括傳統(tǒng)的和數(shù)字的)，來實施“混合”攻擊。如果攻擊成功，勢必將造成大規(guī)模的損害。

其中，首當其沖的將是電信服務和互聯(lián)網(wǎng)連接，從而導致個人和組織與外界隔絕。由于基本的物理和數(shù)字基礎設施將會崩潰，所以應急服務以及地方和中央政府的援助將會變得異常緩慢或者根本就不存在。

這些攻擊的目的是制造最大范圍的混亂、恐懼和擔憂。受災的城市將陷入癱瘓，危及生命及企業(yè)運營安全。在家的人不能也不愿意去上班，或是沒有電力和通信支持其在家工作。那些已經(jīng)在辦公室里的人也會被困在這個無處可逃的地方，因為攻擊會從各個角度襲擊他們。現(xiàn)存的業(yè)務連續(xù)性計劃將毫無用處;當每個系統(tǒng)都處于故障狀態(tài)，而個人生命也處于危險之中，他們將沒有能力也沒有精力準備應對可能發(fā)生的事件。人們會恐慌，工作議程也將取消。

2. 衛(wèi)星事故將造成地面陷入混亂

受損的衛(wèi)星信號，無論是被惡意對手欺騙還是與其他衛(wèi)星或空間碎片碰撞，都會造成整個地球陷入混亂局面。隨著衛(wèi)星的制造成本越來越低，國家空間機構和個人企業(yè)也能夠更容易地啟動和維護它們，它們將逐漸發(fā)展成為現(xiàn)代生活的組成部分。通過衛(wèi)星釋放出的錯誤或欺騙性信號，將會干擾關鍵的交通和通信系統(tǒng)乃至金融服務。

如果偽造的GPS信號被發(fā)送到飛機、輪船和道路車輛系統(tǒng)之中，勢必將威脅人們的生命財產(chǎn)安全，而且供應鏈也會受到阻礙;依賴準確時間戳(timestamps)標記數(shù)字支付的國際金融系統(tǒng)(從證券交易所到ATM機)將無法準確記錄交易;通過誤導基于天氣或特定資產(chǎn)位置(例如，指示哪些農(nóng)作物買入或賣出)的衛(wèi)星數(shù)據(jù)的交易算法，將達到操縱金融市場的目的。

未來幾年，衛(wèi)星將在連接地面(Earth-based )基礎設施和系統(tǒng)方面發(fā)揮越來越重要的作用。然而，組織需要認識到軍方多年前就已經(jīng)領悟到的一個事實——即一旦攻擊衛(wèi)星成功，沒有人能夠幸免于難。

3. 智能家居武器化

攻擊者會想方設法地訪問數(shù)以百萬計的連接設備中的大部分——例如加熱系統(tǒng)和烤箱——并將它們變成攻擊武器。如此大規(guī)模的電器設備會被征用并被濫用于許多破壞性的目的，類似于使用大量受損聯(lián)網(wǎng)設備組成僵尸網(wǎng)絡以啟動大規(guī)模DDoS攻擊的方式。然而，作為一項值得特別關注的威脅類型，它也存在損害電網(wǎng)安全的可能性。

這些電器構成了物聯(lián)網(wǎng)的一部分——許多都可以在家中、辦公室以及工廠內(nèi)找到——它們始終處于“開啟”狀態(tài)并始終連接到互聯(lián)網(wǎng)。如果這些電器受到攻擊者操縱，同切被切換為“全功率”(full power)模式，將會產(chǎn)生意想不到的功率需求，最終造成電力過載并導致地區(qū)電網(wǎng)不能正常運行。隨著電網(wǎng)宕機或嚴重退化，組織的能力將被削弱并難以發(fā)揮作用。

許多最基礎的業(yè)務連續(xù)性計劃(例如指導員工在家辦公)將變得毫無用處，因為他們既缺乏電力支持也沒有溝通途徑。人們賴以生存的重要服務(如供水、食品生產(chǎn)系統(tǒng)和醫(yī)療保健等)也將不能使用。此外，電力配給也將影響其他公用事業(yè)和服務，例如供暖、照明和運輸?shù)?。最重要的是，受災地區(qū)的企業(yè)將由此喪失競爭優(yōu)勢，因為處在非受災地區(qū)的競爭對手將能夠迅速利用這些日漸增長的需求，發(fā)展擴大其業(yè)務規(guī)模。

4. 量子武器競賽削弱數(shù)字經(jīng)濟

下一代計算機技術(量子計算)將能夠在幾小時或幾分鐘內(nèi)破解加密技術，而要完成這一過程，傳統(tǒng)計算機需要花費數(shù)百萬年的時間。因此，構成當今數(shù)字經(jīng)濟基礎的安全機制將需要徹底檢修，此舉可能會使組織面臨數(shù)百萬美元的轉換成本和交易損失。但是，實際問題現(xiàn)在就開始了。特別是，各方將通過收獲巨大的加密信息池來搶先采用這種新技術，并在未來技術可用時使用它。

國家情報機構將率先采用這項技術。由此一來，對手的敏感信息、通信、服務、交易以及關鍵基礎設施都將再無秘密可言。想要率先掌握該技術的愿望勢必會推動數(shù)字軍備競賽發(fā)展。誰將成為量子優(yōu)勝者?目前尚不清楚。

一些民族國家可能會進一步擴大視野，將量子計算作為一種攻擊性武器來破壞他們感知到的敵人的數(shù)字經(jīng)濟。然后，公共和私營部門組織將成為一系列攻擊者的首要目標。在這種情況下，沒有人是安全無憂的，即便是那些相信他們的信息現(xiàn)在是安全的組織也無法幸免。

5. 人工智能惡意軟件放大攻擊者的能力

根據(jù)許多未來學家的觀點，人工智能將為社會帶來巨大的收益，特別是在研究和醫(yī)療保健等領域。然而，它也將以更具破壞性的方式進行部署，其中之一將是構建能夠改變其形式和目的的計算機惡意軟件。攻擊者將使用這種人工智能惡意軟件來尋找訪問組織網(wǎng)絡并破壞其運營的新方法。一些關鍵任務信息資產(chǎn)(如商業(yè)秘密、研發(fā)計劃和業(yè)務戰(zhàn)略等)將成為其首要攻擊目標，因為所有這些信息都未經(jīng)檢測。

因為它是基于AI的，所以這種新型惡意軟件將能夠從其環(huán)境中學習，分析應用程序和系統(tǒng)以實時發(fā)現(xiàn)和利用新的漏洞。在這種情況下，很難區(qū)分哪些是安全的，能夠免受未經(jīng)授權的訪問影響，而哪些是不安全的。即使以前被認為受到良好保護的信息也有可能會受到損害。

用于識別和清除惡意軟件的傳統(tǒng)技術很快也將失效。相反地，需要基于人工智能(AI)的解決方案來對付這種新的惡意軟件，從而形成了“AI攻防”較量的局面。而究竟誰會是最終的勝利者，可能需要相當長的時間進行驗證。

6. 針對聯(lián)網(wǎng)車輛的攻擊危及人身安全

攻擊者將會遠程攻擊一系列聯(lián)網(wǎng)車輛(包括汽車、貨車、船只以及火車等)，通過利用機載系統(tǒng)內(nèi)的漏洞來控制并竊取它們或是禁用重要的安全功能。所有類型的車輛都將暴露于威脅之中。至于攻擊目標的規(guī)模，很可能大到驚人：例如，Gartner預測全球制造的聯(lián)網(wǎng)汽車數(shù)量將從2016年的1240萬增長到2020年的6100萬。

這一威脅造成的影響將因人而異。乘坐聯(lián)網(wǎng)汽車旅行或是在聯(lián)網(wǎng)汽車附近的人將會面臨生命危險;那些依賴連接車輛運輸貨物或材料的供應鏈組織將面臨運營中斷的風險;汽車制造商及其分銷商將面臨聲譽方面的損失;維護提供商將面臨迫切需要執(zhí)行軟件和硬件更新的壓力。

事故責任(包括故意的攻擊行為)將成為一個特別熱門的話題。保險公司將被迫重新考慮他們的策略，以重新制定涉及連接車輛事件的索賠事宜;組織希望自己是無可指責的，但可能也要承擔責任;如果事故引發(fā)廣泛關注，汽車制造商可能將面臨復雜的集體訴訟戰(zhàn)。

7. 生物識別技術提供一種錯誤的安全感

對便利性和可用性的需求，將推動組織轉向使用生物識別身份驗證方法作為所有形式計算和通信設備的默認設置，以取代如今的多因素身份驗證方法。但是，對一種或多種生物識別技術功效的任何錯誤信任都會導致敏感信息暴露。而針對生物識別技術的攻擊也會對企業(yè)的財務和聲譽帶來損失。

由不同供應商生產(chǎn)的各種各樣的專有技術將使問題變得更加復雜化。由于沒有通用的全球生物識別安全標準，所以一些技術將不可避免地落后于其他技術。那么問題就變成：今天哪些技術是安全的?以及第二天它還會是安全的嗎……那么第三天、第四天……呢?

隨著新設備逐漸滲透到組織之中，現(xiàn)有的安全策略將遠遠不能解決這些新出現(xiàn)的問題。如果未能對這些重大變化做足計劃和準備，勢必將造成一些組織陷入這樣一種危險境地：即企業(yè)的關鍵或敏感信息受到單一生物識別因素的保護，而這種生物識別因素被證實是脆弱的。

8. 新法規(guī)將增加風險和合規(guī)性負擔

到2020年，新出臺的國際和地區(qū)法規(guī)的數(shù)量和復雜性，加上現(xiàn)有的法規(guī)，將會造成合規(guī)資源和機制不堪重負。此外，這些新的合規(guī)要求也將導致一個不斷膨脹的“攻擊面”的出現(xiàn)，這個攻擊面必須得到充分保護，因為攻擊者會不斷掃描、探測并尋求方法攻破它。

對于一些組織來說，新的合規(guī)要求會增加必須儲存和保護的敏感信息的數(shù)量，包括客戶詳細信息和業(yè)務計劃等。其他組織可能會注重數(shù)據(jù)透明度方面的監(jiān)管要求，從而導致信息被提供給第三方使用，這些第三方將在多個地點傳輸、處理和存儲這些信息。

在應對大量監(jiān)管義務的同時，平衡可能相互矛盾的需求，可能會將主要員工從重要的風險緩解活動中轉移出去，或者將合規(guī)失敗的影響提高到新的水平;企業(yè)領導也將面臨更為艱難的抉擇;那些判斷失誤的員工可能會使其組織面臨非常嚴重的經(jīng)濟和聲譽損失。

9. 專業(yè)人員成泄露組織機密的“切入口”

商人無情追逐利潤的本性以及不斷變化的勞動力市場都將營造一種不確定和不安全的氣氛，最終會降低員工對組織的忠誠度。而這種忠誠度的缺失也將會被利用：“兌現(xiàn)”公司機密(包括安全漏洞等組織薄弱點)所帶來的巨大誘惑和高額回報，將隨著這些機密不斷增長的市場價值得到進一步放大。即便是你認為值得信賴的專業(yè)人員也會面臨誘惑，忠誠度受到考驗。

大多數(shù)組織已經(jīng)認識到，有關關鍵任務信息資產(chǎn)的密碼及密鑰必須謹慎分發(fā)，只有那些既需要它們又被視為值得信賴的人員才能獲取到這些信息。然而，現(xiàn)在已經(jīng)通過初步審查和背景調(diào)查的員工或許會在將來面臨巨大誘惑或脅迫(如威逼利誘、綁架勒索、金錢回報等)，從而做出違背該信任的決定。

內(nèi)部威脅一直很重要，稍一出錯就可能使整個組織陷入危險境地。漏洞懸賞和道德披露計劃的建立，加上網(wǎng)絡犯罪或黑客對于機密信息的需求，都促使漏洞信息的價值不斷攀升。那些依賴現(xiàn)有機制來確保員工和合同方的忠誠度，從而賦予其獲得敏感信息的組織，很快將會發(fā)現(xiàn)這些機制的不足。

結語

隨著威脅場景地不斷變化，組織必須全面致力于采取嚴謹而實用的方法來管理未來的這些重大變化。此舉需要組織內(nèi)每個級別的員工都能參與進來，包括董事會成員以及非技術職務的經(jīng)理等。

上述列出的九個威脅場景暴露了未來兩年最突出的安全風險。它們有能力以驚人的速度在網(wǎng)絡空間傳播其影響，特別是當互聯(lián)網(wǎng)的使用率不斷攀升時。隨著變革步伐的加劇，許多組織將難以應付。提前認清這些威脅并做好防御準備，將能夠最大程度地降低風險損失。