每年的歲末年初通常是回顧和展望行業(yè)發(fā)展的時候。盡管信息安全多年來在工具、技術(shù)、培訓(xùn)、意識方面取得了巨大進(jìn)步，但仍然存在重大挑戰(zhàn)。以下是行業(yè)專家對2022年信息安全方面面臨的主要挑戰(zhàn)的預(yù)測。其中有一些是長期存在的問題，有一些是新出現(xiàn)的問題。以下介紹了人們可能在2022年面臨的十大安全挑戰(zhàn)：

1.文件保留政策

人們往往忘記數(shù)字安全首先與信息管理有關(guān)。一切都與數(shù)據(jù)有關(guān)。歸根結(jié)底，數(shù)據(jù)安全的目標(biāo)是確保正確的信息(具有完整性)傳遞給正確的人員，并且不會流向其他地方。

在很大程度上，這意味著要做非常難做的事情。這意味著映射數(shù)據(jù)流(而不是網(wǎng)絡(luò))。人們需要了解哪些數(shù)據(jù)位于何處、應(yīng)該去往何處以及備份和存儲的位置。這也意味著了解數(shù)據(jù)如何通過系統(tǒng)流動;數(shù)據(jù)流經(jīng)的地方、流經(jīng)的網(wǎng)絡(luò)和設(shè)備以及存儲方式(永久和臨時)。還有一個問題是，創(chuàng)建的大部分?jǐn)?shù)據(jù)(電子郵件)可能會在第三方或通過第三方存儲或傳輸，或者可能會發(fā)送給第三方，第三方本身可能會重新傳輸數(shù)據(jù)或?qū)⑵浜喜⒌狡渌麛?shù)據(jù)流中。

在映射數(shù)據(jù)流之后，下一步是對數(shù)據(jù)進(jìn)行分類。哪些是機(jī)密數(shù)據(jù)?哪些是公開的數(shù)據(jù)?從保密的角度來看，哪些數(shù)據(jù)是關(guān)鍵的(如果數(shù)據(jù)被發(fā)布，企業(yè)或第三方會發(fā)生什么)?

從數(shù)據(jù)完整性(例如財(cái)務(wù)披露)的角度來看，哪些數(shù)據(jù)至關(guān)重要?從可用性的角度來看，哪些數(shù)據(jù)至關(guān)重要(例如植入的心臟起搏器)?從數(shù)據(jù)安全的角度來看，這只是數(shù)據(jù)分類。然后還必須從數(shù)據(jù)保留和數(shù)據(jù)銷毀的角度對數(shù)據(jù)進(jìn)行分類。需要保存多久?如何保存它?必須將它放在哪里?數(shù)據(jù)可以導(dǎo)出嗎?可以刪除嗎?必須“擦除”而不是刪除數(shù)據(jù)嗎?如果要刪除數(shù)據(jù)，知道它在哪里嗎?

這些問題真的很難回答和解決，因?yàn)槿藗儍A向于保留數(shù)據(jù)。這意味著需要將數(shù)據(jù)從一個地方移動到另一個地方——移動到U盤、硬盤或移動設(shè)備上，并通過電子郵件發(fā)送到自己的郵箱。然而人類也是懶惰的，因?yàn)榛ㄙM(fèi)幾個小時瀏覽文檔和電子郵件并對它們進(jìn)行“分類”幾乎沒有明顯的效用，所以最終獲得大量從未分類也從未刪除的數(shù)據(jù)?；蛘吒鼫?zhǔn)確地說是大量的數(shù)據(jù)。人們沒有采用很好的工具來自動分類數(shù)據(jù)并自動刪除。如果確實(shí)有這樣的工具，那么也可能成為黑客和欺詐者的強(qiáng)大工具。所以，這是一個挑戰(zhàn)。

2.保險

網(wǎng)絡(luò)保險已經(jīng)以這樣或那樣的形式存在了多年。隨著勒索軟件攻擊事件(以及與之相關(guān)的索賠)的增加，保險公司的應(yīng)對措施是更加有選擇性地選擇投保者和投保內(nèi)容，要求潛在的承保者采取某些行動作為投保的先決條件，并提高保費(fèi)，以便將某些損失排除在承保范圍之外。他們還采取了狹隘的防御立場，拒絕理賠。例如與勒索軟件“損壞”的文件相關(guān)的索賠，保險公司認(rèn)為這些文件沒有真正“損壞”。此外，保險公司還與數(shù)字取證和調(diào)查公司以及網(wǎng)絡(luò)律師事務(wù)所建立合作關(guān)系，為風(fēng)險降低、風(fēng)險緩解、風(fēng)險轉(zhuǎn)移和事件響應(yīng)提供“一站式服務(wù)”。2022年面臨的挑戰(zhàn)是確保保險本身和保險市場能夠應(yīng)對數(shù)字市場帶來的實(shí)際威脅和挑戰(zhàn)。欺詐性電匯、供應(yīng)鏈干擾、第三方責(zé)任、商業(yè)信譽(yù)管理以及加密貨幣損失都是新的威脅，大多數(shù)企業(yè)的保險單可能不足以應(yīng)對這些威脅。此外，隨著網(wǎng)絡(luò)保險價格的上漲，許多中小型企業(yè)被排除在保險市場之外。最后，當(dāng)前的商業(yè)網(wǎng)絡(luò)保險市場可能不足以解決兩個相關(guān)問題：系統(tǒng)供應(yīng)鏈(第三方)索賠和與民族國家發(fā)起的網(wǎng)絡(luò)攻擊相關(guān)的索賠?，F(xiàn)在可能是政府介入的時候了，以確保網(wǎng)絡(luò)保險政策是合理全面的，并且負(fù)擔(dān)得起。因此，這仍然是一個挑戰(zhàn)。

3.勒索軟件

勒索軟件對企業(yè)來說仍然是一個重大挑戰(zhàn)，不僅因?yàn)樗鼰o處不在，還因?yàn)槔账鬈浖艨赡軐纳系较乱约皩ζ髽I(yè)的合作伙伴或客戶產(chǎn)生重大影響。與以前的黑客竊取數(shù)據(jù)然后利用或?qū)ν獬鍪鄄煌账鬈浖粽咭蕾囉谑芎φ咧Ц兜内H金，他們不必在竊取數(shù)據(jù)之后四處尋找買家，而是將數(shù)據(jù)(或者只是訪問該數(shù)據(jù))出售給受害者自己。隨著通過加密貨幣進(jìn)行匿名支付流程的普遍存在，勒索軟件攻擊者可能針對特定的企業(yè)、行業(yè)、計(jì)算機(jī)或數(shù)據(jù)庫進(jìn)行攻擊，或者可能只是針對特定目標(biāo)。勒索軟件的防御都是復(fù)雜且不全面的——無論是入侵防御、網(wǎng)絡(luò)分段、數(shù)據(jù)備份和恢復(fù)還是高級事件響應(yīng)(包括支付)。

4.供應(yīng)鏈

出于一些目的，行業(yè)專家對“供應(yīng)鏈”進(jìn)行了非常廣泛的定義。企業(yè)的供應(yīng)鏈?zhǔn)瞧髽I(yè)依賴于關(guān)鍵數(shù)據(jù)、流程或服務(wù)的任何東西。軟件可以有一個相關(guān)的供應(yīng)鏈，硬件也是如此。硬件、服務(wù)、人員等都是供應(yīng)鏈的一部分。當(dāng)人們籠統(tǒng)地談?wù)?ldquo;供應(yīng)鏈安全”或“供應(yīng)鏈彈性”時，實(shí)際上是在談?wù)摍z查所有的依賴關(guān)系和相互依賴關(guān)系，并提出一些棘手的問題，例如“如何知道該產(chǎn)品或服務(wù)的來源?如果數(shù)據(jù)不可用會發(fā)生什么?如果云計(jì)算不安全怎么辦?如果無法訪問數(shù)據(jù)怎么辦?”

供應(yīng)鏈很難理解，也越來越難以管理。由于相互依賴關(guān)系眾多，任何實(shí)體的安全性和彈性都依賴于它所依賴的任何和所有硬件、軟件、人員、流程等的安全性和彈性。雖然第三方審計(jì)、數(shù)據(jù)保護(hù)協(xié)議和標(biāo)準(zhǔn)都可能有所幫助，但問題確實(shí)很復(fù)雜，而且很可能會持續(xù)存在。

5. 多因素身份驗(yàn)證

當(dāng)人們談到身份驗(yàn)證時，通常指的是“授權(quán)”訪問數(shù)據(jù)、計(jì)算機(jī)、網(wǎng)絡(luò)或處理程序的人員是否是被允許的人員，他們是否出于被允許的目的訪問和使用數(shù)據(jù)?傳統(tǒng)上，使用“身份驗(yàn)證”作為授權(quán)代理，通過向被授權(quán)人提供某種形式的憑證，然后提供憑證以建立授權(quán)。在這種憑證的來回傳輸過程中，可能會出現(xiàn)漏洞，包括中間人(MiTM)攻擊、欺騙、憑證盜竊等。此外，強(qiáng)身份驗(yàn)證對強(qiáng)隱私來說是一種詛咒，因?yàn)橐粋€經(jīng)過強(qiáng)身份驗(yàn)證的個人可以通過其憑證在其訪問的每個地方和所做的一切進(jìn)行跟蹤。人們可以而且將會在身份驗(yàn)證方案中做得更好，但由于身份驗(yàn)證的強(qiáng)大功能，它通常是最普遍的攻擊對象。這是一個困難而持久的問題，這就是它成為一個主要挑戰(zhàn)的原因。

6. 數(shù)據(jù)保護(hù)協(xié)議

供應(yīng)鏈問題的一個必然結(jié)果是邊界問題。企業(yè)通常只能解決他們所依賴的基礎(chǔ)設(shè)施的一小部分問題。他們的郵件由第三方云計(jì)算提供商提供。他們的銷售、基礎(chǔ)設(shè)施、賬單、發(fā)票、人力資源等也是如此，他們雇用顧問、獨(dú)立銷售代表、律師、供應(yīng)商等;他們每個人都可以訪問數(shù)據(jù)、網(wǎng)絡(luò)、計(jì)算機(jī)等。對于企業(yè)直接控制之外的任何數(shù)據(jù)或流程，可以強(qiáng)迫第三方“做某事”來保護(hù)其數(shù)據(jù)。有時，通知數(shù)據(jù)泄露只是一項(xiàng)義務(wù)。有義務(wù)遵守某些數(shù)據(jù)隱私或數(shù)據(jù)安全標(biāo)準(zhǔn)。這些協(xié)議就像一顆定時炸彈一樣，直到其中一家公司遭受數(shù)據(jù)泄露或其他事件，然后起訴他們違約。此外，企業(yè)認(rèn)為第三方簽署了他們保護(hù)企業(yè)數(shù)據(jù)的協(xié)議這一事實(shí)意味著是清白的。因此，企業(yè)需要重視數(shù)據(jù)保護(hù)協(xié)議的問題。

7. 國際數(shù)據(jù)隱私條例

正當(dāng)人們開始就數(shù)據(jù)隱私原則(有限收集、同意、合法使用、數(shù)據(jù)生命周期、被遺忘權(quán)等)達(dá)成共識時，數(shù)據(jù)隱私法律法規(guī)變得更加復(fù)雜和難以遵守。隱私監(jiān)管的另一個問題是互聯(lián)網(wǎng)已經(jīng)變得依賴于缺乏數(shù)據(jù)隱私——Facebook、谷歌、亞馬遜、蘋果等大型科技公司依賴于海量數(shù)據(jù)的收集和分析，大量的個人數(shù)據(jù)為這些公司帶來了巨大價值和利益。數(shù)據(jù)隱私法規(guī)的問題在于，人們希望通過讓第三方為他們收集數(shù)據(jù)和關(guān)于他們的數(shù)據(jù)來獲得隱私和效用。

8.遠(yuǎn)程工作/遠(yuǎn)程訪問

如果說新冠疫情教會了人們什么的話，那就是遠(yuǎn)程工作得以興起。遠(yuǎn)程工作、遠(yuǎn)程訪問、以及一些支持遠(yuǎn)程辦公的工具爆炸式增長，已經(jīng)在人員與數(shù)據(jù)之間造成了物理脫節(jié)。數(shù)據(jù)可以在任何地方和任何時間被訪問。這種斷開為黑客、欺詐者和其他人攻擊數(shù)據(jù)和網(wǎng)絡(luò)創(chuàng)造了機(jī)會。隨著人們需要更多的遠(yuǎn)程服務(wù)(例如遠(yuǎn)程醫(yī)療)并要求能夠遠(yuǎn)程工作，問題只會變得更糟。

9.人員短缺

有些企業(yè)缺乏良好的安全措施，部分原因是工作本身的性質(zhì)。良好的安全人員遵循復(fù)雜的規(guī)則，知道如何與其他人聯(lián)系并分享他們的見解，他們是 “團(tuán)隊(duì)合作者”，可以在沒有任何監(jiān)督的情況下工作數(shù)小時或數(shù)天。而他們本質(zhì)上也是一名黑客，但永遠(yuǎn)不會做黑客做的事情。難怪企業(yè)很難招募和激勵優(yōu)秀的安全人員。

10.安全意識

一些企業(yè)表示已經(jīng)對員工進(jìn)行了大量的安全培訓(xùn)。但實(shí)際上員工只是參加時間很短的安全培訓(xùn)課程，然后每年參加一次進(jìn)修課程。這是一件苦差事，及格率通常為75%到80%，這意味著他們可能有25%的出錯機(jī)率，但仍然通過了安全培訓(xùn)。然而在許多情況下，員工或者是抵御網(wǎng)絡(luò)攻擊的第一道防線，或者是此類攻擊的推進(jìn)者。在通常情況下，這兩種情況都會同時存在。企業(yè)必須找到超越安全培訓(xùn)的方法，加強(qiáng)安全文化。當(dāng)然，在重大勒索軟件攻擊事件發(fā)生之后，人們對數(shù)據(jù)安全的需求更加敏感。問題在于許多員工不知道如何維護(hù)安全或不在乎。然而在大多數(shù)時候，這是因?yàn)閱T工認(rèn)為繞過安全要求以完成工作是一種必要的或有用的措施。因此，首席信息安全官的部分工作是找出員工繞過安全措施的方式和原因，找到幫助他們完成工作的方法。并在企業(yè)內(nèi)部灌輸一種安全、好奇和關(guān)注的文化。

以上這些是企業(yè)可能在2022年面臨的十大安全挑戰(zhàn)。這些問題中的大多數(shù)都是難以解決的，而且必然會重演。