在未來幾年內(nèi)，當(dāng)前數(shù)字世界的基礎(chǔ)將發(fā)生劇烈震蕩。隨著組織開展業(yè)務(wù)的方式發(fā)生巨大變化，不斷涌現(xiàn)的新威脅將來自生物識(shí)別、法律法規(guī)以及內(nèi)部人員等方面。那些獨(dú)具創(chuàng)新且意志堅(jiān)定的攻擊者可能將抱團(tuán)圍攻更為強(qiáng)大的組織機(jī)構(gòu)。

前不久發(fā)布的《威脅地平線2020》年度報(bào)告，指出未來2-3年內(nèi)各個(gè)地區(qū)各行各業(yè)的企業(yè)將會(huì)面臨的威脅類型，為企業(yè)提供了前瞻性的觀點(diǎn)和建議，以充分了解當(dāng)前網(wǎng)絡(luò)世界中日益增長的威脅場景。

下面就讓我們來了解一下其中部分預(yù)測結(jié)果，及其將會(huì)對(duì)企業(yè)或組織產(chǎn)生的影響：

1. 生物識(shí)別技術(shù)提供虛假的安全感

鑒于消費(fèi)者對(duì)便捷性的需求日盛，加之營銷商所渲染的強(qiáng)大安全性，未來幾年，生物識(shí)別身份驗(yàn)證技術(shù)將充斥企業(yè)組織的每個(gè)角落。但是，這些組織很快就會(huì)意識(shí)到，自己并沒有像營銷商所宣傳的那樣，得到充分適當(dāng)?shù)谋Ｗo(hù)。事實(shí)證明，生物識(shí)別技術(shù)所營造的強(qiáng)大安全感是沒有根據(jù)的，極具創(chuàng)新意識(shí)的攻擊者將學(xué)習(xí)如何利用越來越復(fù)雜的方法，來攻克生物識(shí)別安全措施。

對(duì)于便捷性和易用性的需求，將促使企業(yè)組織轉(zhuǎn)向使用生物識(shí)別身份驗(yàn)證技術(shù)，以取代當(dāng)前的多因素身份驗(yàn)證方法，來作為所有形式的計(jì)算和通信設(shè)備的默認(rèn)驗(yàn)證方式。然而，殊不知，任何對(duì)一種或多種生物識(shí)別技術(shù)功效的錯(cuò)誤信任，都可能會(huì)招致敏感信息泄露的后果。更糟糕的是，對(duì)生物識(shí)別技術(shù)的攻擊還將影響企業(yè)財(cái)務(wù)狀況，并造成無法挽回的聲譽(yù)損失。

現(xiàn)存的安全策略遠(yuǎn)遠(yuǎn)無法解決這一問題，因?yàn)榻M織可能從董事以下的使用的都是依賴生物識(shí)別技術(shù)的新設(shè)備。如果不對(duì)這一變化做出合理的規(guī)劃和應(yīng)對(duì)措施，一些組織勢必會(huì)在毫無意識(shí)的情況下，使用單一且易受攻擊的生物識(shí)別因素來保護(hù)其關(guān)鍵或敏感的企業(yè)數(shù)據(jù)。如此一來，勢必會(huì)造成無可估量的后果。

2. 新法規(guī)增加了“風(fēng)險(xiǎn)與合規(guī)”負(fù)擔(dān)

到2020年，在現(xiàn)有法律法規(guī)的基礎(chǔ)上，勢必會(huì)涌現(xiàn)出更多、更復(fù)雜的新國際和地方法規(guī)，如此一來，合規(guī)資源和機(jī)制將擴(kuò)展到突破點(diǎn)，大大增加“風(fēng)險(xiǎn)與合規(guī)”負(fù)擔(dān)。此外，這些新的合規(guī)性要求也將導(dǎo)致一個(gè)不斷膨脹的“攻擊面”。面對(duì)攻擊者持續(xù)的探測、掃描和攻擊嘗試，如何全面的保護(hù)這些“攻擊面”將成為一個(gè)巨大的考驗(yàn)。

對(duì)于一些組織而言，新的合規(guī)性要求將增加必須存儲(chǔ)和保護(hù)的敏感信息(包括客戶詳細(xì)信息以及業(yè)務(wù)計(jì)劃等)的數(shù)量;而對(duì)另外一些組織來說，對(duì)透明度的監(jiān)管要求將導(dǎo)致這些信息被存儲(chǔ)在多個(gè)位置，加之有第三方介入，勢必會(huì)增加數(shù)據(jù)泄露發(fā)生的可能性。

為了在應(yīng)對(duì)大量監(jiān)管義務(wù)的同時(shí)平衡潛在沖突的需求，一些公司可能會(huì)將基本員工從關(guān)鍵風(fēng)險(xiǎn)緩解活動(dòng)中轉(zhuǎn)移出來，或?qū)⒑弦?guī)失敗的影響提升到新的水平。此外，新的數(shù)據(jù)隱私規(guī)定會(huì)對(duì)不合規(guī)行為處以重罰，將大大增加數(shù)據(jù)泄露在財(cái)務(wù)及聲譽(yù)方面的影響。

3. 受信任的專業(yè)人士泄露組織弱點(diǎn)

對(duì)利益的不懈追求，以及勞動(dòng)力的高流失率將營造一種不確定和不安全的氛圍，這種氛圍降低了員工對(duì)其組織的忠誠度。而這種忠誠度缺失的現(xiàn)象又會(huì)被攻擊者濫用：攻擊者可以利用金錢誘惑員工泄露公司機(jī)密，其中包括組織的弱點(diǎn)，如安全漏洞等信息。對(duì)于這種誘惑，即便是深受組織信任的專業(yè)人士也會(huì)中招。

如今，大多數(shù)組織都已經(jīng)意識(shí)到，企業(yè)關(guān)鍵任務(wù)信息資產(chǎn)的密碼或密鑰需要謹(jǐn)慎分發(fā)，并且僅限于那些有工作需求且受信任的員工。但是，難保這些通過初步審查和背景調(diào)查的員工，未來不會(huì)因?yàn)槠渌T惑(升職、金錢或其他能夠改變個(gè)人現(xiàn)狀的條件)或威脅(脅迫、勒索等)而泄露這些信息。

雖然“內(nèi)部人員威脅”的話題已是老生常談，且近年來組織的安全意識(shí)也有所提升，但是組織資產(chǎn)仍然面臨很大的威脅。如今，越來越多的漏洞懸賞項(xiàng)目和道德披露項(xiàng)目的確立，加之網(wǎng)絡(luò)犯罪分子和黑客日漸膨脹的需求，都意味著最機(jī)密的秘密(如關(guān)鍵的滲透測試結(jié)果和漏洞報(bào)告)是非常有價(jià)值的。如果說組織還只是依賴現(xiàn)有的機(jī)制，來確保有權(quán)訪問敏感信息的員工和簽約方值得信任，這是遠(yuǎn)遠(yuǎn)不夠的。

準(zhǔn)備工作刻不容緩

面對(duì)日益嚴(yán)峻的全球威脅，組織必須做出有條不紊且覆蓋廣泛的準(zhǔn)備措施，以確保制定出可行的計(jì)劃，來適應(yīng)不久的將來將面對(duì)的種種變化。這一過程需要全組織人員，甚至從董事會(huì)成員到非技術(shù)職位的經(jīng)理再到組織各級(jí)員工的參與。

隨著互聯(lián)網(wǎng)和連接設(shè)備的應(yīng)用范圍不斷擴(kuò)大，上述列出的威脅主題勢必會(huì)影響以極快的速度在網(wǎng)絡(luò)空間中運(yùn)營發(fā)展的企業(yè)。面對(duì)變革步伐的不斷加劇，許多組織可能會(huì)感到力不從心。對(duì)此，我們建議每個(gè)組織必須留意這些威脅，無論這些威脅如今是大是小，亦或現(xiàn)在看起來很遙遠(yuǎn)，但是要牢記的是，它們可能會(huì)在你還沒準(zhǔn)備好的時(shí)候突然降臨。

為了更好地應(yīng)對(duì)上述挑戰(zhàn)，組織可以執(zhí)行風(fēng)險(xiǎn)評(píng)估，以確定哪些角色和數(shù)據(jù)關(guān)鍵性等級(jí)的組合可被何種身份驗(yàn)證方法使用;與董事會(huì)成員和其他主要利益相關(guān)者溝通，以平衡合規(guī)需求與業(yè)務(wù)風(fēng)險(xiǎn)的復(fù)雜性;識(shí)別能夠訪問關(guān)鍵或敏感信息的個(gè)人及外部實(shí)體，驗(yàn)證并經(jīng)常重新評(píng)估這種訪問權(quán)限是否存在必要等等。

《威脅地平線2020》年度報(bào)告原文：

https://www.securityforum.org/research/threat-horizon-2s-start-to-shake/

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文