每迎來新的一年，網(wǎng)絡(luò)犯罪活動都變得更為復(fù)雜且更具協(xié)作特性。為了成功抵抗2015年當(dāng)中即將全面肆虐的安全威脅，信息安全專家們必須對五種主導(dǎo)性威脅類型做好應(yīng)對準(zhǔn)備。

[[124541]]

在信息安全領(lǐng)域，2014年已經(jīng)成為極不平凡的一年——網(wǎng)絡(luò)威脅與數(shù)據(jù)泄露等事故以幾乎永無止境之勢一波波襲來，給零售業(yè)、銀行業(yè)、游戲網(wǎng)絡(luò)以及政府機(jī)關(guān)等行業(yè)造成巨大沖擊。

雖然2014年即將走向終點，但我們可以預(yù)計埡網(wǎng)絡(luò)威脅在規(guī)模、嚴(yán)重程度以及復(fù)雜性等方面勢必有增無減，信息安全論壇(簡稱ISF)常務(wù)董事Steve Durbin指出——這是一家專門為其成員提供安全性評估與風(fēng)險管理問題解決方案的非營利性協(xié)會。

展望步步走來的2015年，Durbin表示ISF為接下來的一年整理出五大將占據(jù)主導(dǎo)性的安全發(fā)展趨勢。

Durbin解釋稱，“對我來說，安全問題本身并不會出現(xiàn)顛覆性的全新變化，新形勢主要表現(xiàn)在此類威脅的復(fù)雜性與精密程度方面。”

1.網(wǎng)絡(luò)犯罪

互聯(lián)網(wǎng)已經(jīng)成為一片吸引力越來越大的犯罪分子、激進(jìn)分子乃至恐怖分子的淘金地，他們在這里通過各種非法手段賺取收益，甚至包括通過在線攻擊活動中斷甚至導(dǎo)致企業(yè)及政府業(yè)務(wù)全面停機(jī)

當(dāng)下網(wǎng)絡(luò)犯罪活動主要由前蘇聯(lián)各成員國所發(fā)起。這些國家擁有水平極高的相關(guān)技能并配備高度現(xiàn)代化工具——正如Durbin所指出，他們通常會利用二十一世紀(jì)工具沖擊于二十世紀(jì)構(gòu)建而成的系統(tǒng)。

“2014年，我們發(fā)現(xiàn)網(wǎng)絡(luò)犯罪活動顯示出更高級別的協(xié)作水平與更令人擔(dān)憂的技術(shù)層級，而很多大型組織機(jī)構(gòu)還完全沒有意識到這一點，”Durbin指出。

“2015年，企業(yè)必須為預(yù)期之外的安全問題做好準(zhǔn)備，從而保證自身有能力承受無法預(yù)料且影響極大的相關(guān)事故，”他進(jìn)一步補(bǔ)充稱。“隨著網(wǎng)絡(luò)規(guī)模的持續(xù)增長、合規(guī)性保障的必要成本不斷提升以及針對現(xiàn)有安全保護(hù)措施的攻擊技術(shù)投入的進(jìn)一步加大，網(wǎng)絡(luò)犯罪活動將掀起一股安全威脅新高潮。企業(yè)需要對業(yè)務(wù)依賴性關(guān)系做出更為明確的定性，從而更好地實現(xiàn)業(yè)務(wù)用例的彈性投資量化效果，最終最大程度削減意外狀況帶來的實際影響。”#p#

2. 隱私與監(jiān)管

[[124542]]

大部分政府機(jī)關(guān)已經(jīng)創(chuàng)建出或者正在逐步創(chuàng)建相關(guān)規(guī)章制度，旨在保證個人可識別信息(簡稱PII)資產(chǎn)的維護(hù)與使用，而未能確切遵循相關(guān)要求并對上述信息加以保護(hù)的組織則面臨著遭受懲罰的風(fēng)險。有鑒于此，Durbin指出，組織需要將隱私作為一項合規(guī)性與業(yè)務(wù)風(fēng)險問題進(jìn)行考量，從而減少監(jiān)控制裁以及各類業(yè)務(wù)成本——例如企業(yè)信譽(yù)受損以及因隱私侵犯導(dǎo)致的客戶流失狀況。

而全球范圍內(nèi)不同區(qū)域所采取的監(jiān)管機(jī)制在彼此結(jié)合與雜糅之后，也很可能在2015年讓企業(yè)面臨更為沉重的安全保障性負(fù)擔(dān)。

“我們發(fā)現(xiàn)已經(jīng)有越來越多的監(jiān)管性計劃開始將信息收集、存儲以及使用機(jī)制同針對數(shù)據(jù)丟失與泄露通知所采取的懲罰性手段結(jié)合在一起，此類情況在歐盟地區(qū)表現(xiàn)得尤其明顯，”Durbin表示。“希望這一趨勢能夠得到進(jìn)一步持續(xù)與發(fā)展，從而在安全效能之外，從法規(guī)、人力資源以及中層管理角度對安全監(jiān)督加以強(qiáng)化。”

他還補(bǔ)充稱，企業(yè)應(yīng)當(dāng)關(guān)注歐盟對于數(shù)據(jù)泄露法規(guī)與隱私保護(hù)制度視為基準(zhǔn)性參考標(biāo)準(zhǔn)，并據(jù)此組織起相應(yīng)的安全規(guī)劃。

“監(jiān)管機(jī)構(gòu)與政府部門正積極參與其中，”他指出。“而這給企業(yè)帶來了更為沉重的負(fù)擔(dān)。企業(yè)需要為此配備更為豐富的應(yīng)對性資源，并需要深入了解安全態(tài)勢的發(fā)展?fàn)顩r。如果大家所在企業(yè)中已經(jīng)聘請了內(nèi)部法律顧問，那么他們發(fā)揮作用的時候就是現(xiàn)在。如果還沒有聘請此類人員，則需要盡快將其納入成本規(guī)劃。”#p#

3.來自第三方供應(yīng)商的安全威脅

[[124543]]

供應(yīng)鏈?zhǔn)敲恳患移髽I(yè)在全球性業(yè)務(wù)運(yùn)營體系當(dāng)中的重要組成部分，甚至已經(jīng)成為全球經(jīng)濟(jì)體驗中的支柱與主干。然而正如Durbin所言，安全事務(wù)負(fù)責(zé)人們已經(jīng)開始越來越多地關(guān)注自身企業(yè)在面對無數(shù)風(fēng)險因素時的開放程度。供應(yīng)商往往能夠共享到一系列有價值甚至是敏感性信息，而在信息處于共享狀態(tài)時、與之相關(guān)的直接控制機(jī)制也將失去效力。這無疑將導(dǎo)致信息在保密性、完整性以及可用性等層面面臨更為嚴(yán)重的安全風(fēng)險。

即使是看似無害的連接也可能充當(dāng)著攻擊活動的實質(zhì)性引導(dǎo)角色。攻擊Target的犯罪分子就是利用該公司HVAC供應(yīng)商用于提交發(fā)票信息的的Web服務(wù)應(yīng)用程序?qū)嵤阂饣顒拥摹?/p>

“在未來一年中，第三方供應(yīng)商將進(jìn)一步面臨來自針對性攻擊活動的威脅壓力，而且很可能無法保障其所涉及數(shù)據(jù)的機(jī)密性、完整性以及/或者可用性，”Durbin表示。“各類規(guī)模的企業(yè)都需要認(rèn)真考量供應(yīng)商帶來負(fù)面意外狀況的可能性，其中具體涉及知識產(chǎn)權(quán)、客戶或員工信息、商業(yè)計劃或者談判內(nèi)容等等。而這類思路對于負(fù)責(zé)制造或者分發(fā)的合作伙伴也同樣適用。我們還應(yīng)將專業(yè)服務(wù)供應(yīng)商、律師以及會計人員視為潛在高風(fēng)險群體，因為他們往往也能輕松訪問到最具價值的數(shù)據(jù)資產(chǎn)。”

Durbin補(bǔ)充稱，信息安全專家應(yīng)當(dāng)與負(fù)責(zé)按照合約提供服務(wù)的供應(yīng)方保持更為緊密的合作關(guān)系，并從盡職性調(diào)查的角度出發(fā)對潛在威脅進(jìn)行徹底排查。

“當(dāng)務(wù)之急在于，企業(yè)需要構(gòu)建起穩(wěn)固的業(yè)務(wù)持續(xù)性規(guī)劃、從而改善相關(guān)彈性并提振高管團(tuán)隊對于功能交付能力的信心，”他指出。“一套結(jié)構(gòu)良好的供應(yīng)鏈信息風(fēng)險評估方案能夠提供詳盡的分步式實施方法，從而將艱巨的項目管理工作拆分成一個個易于完成的步驟性目標(biāo)。此類方案應(yīng)該由信息驅(qū)動而非以供應(yīng)商為中心，因此能夠在不同企業(yè)環(huán)境下具備可擴(kuò)展能力與可重復(fù)利用特性。”#p#

4.辦公環(huán)境中的BYOx趨勢

[[124544]]

“自帶xx(即BYOx)”趨勢已經(jīng)客觀存在，無論企業(yè)或組織是否認(rèn)同，Durbin表示，而且就目前來看、幾乎沒有多少企業(yè)能夠真正就此開發(fā)出良好的指導(dǎo)性政策方案。

“隨著員工不斷將自有移動設(shè)備、應(yīng)用程序、基于云環(huán)境的存儲機(jī)制以及辦公環(huán)境訪問機(jī)制引入企業(yè)環(huán)境，各類規(guī)模的組織逐漸發(fā)現(xiàn)防范信息安全風(fēng)險的工作難度已經(jīng)達(dá)到前所未有的新高度，”他指出。“此類風(fēng)險貫穿企業(yè)內(nèi)部與外部，包括設(shè)備本身管理不善、針對軟件漏洞的外部利用以及未經(jīng)嚴(yán)格測試且非可靠性業(yè)務(wù)應(yīng)用的部署等等。”

他同時指出，如果大家發(fā)現(xiàn)目前所在企業(yè)中的BYOx類風(fēng)險過高，則至少需要確保對事態(tài)的進(jìn)一步發(fā)展保持關(guān)注與了解。如果大家認(rèn)為此類風(fēng)險尚在可接受范圍之內(nèi)，那么以此為基礎(chǔ)建立一套具備良好架構(gòu)的BYOx實施方案也未嘗不可。

“請記住，如果實施手段存在問題，那么辦公環(huán)境下的個人設(shè)備戰(zhàn)略很可能面臨著意外泄露事故的侵?jǐn)_，其中包括工作與個人數(shù)據(jù)邊界模糊以及大量業(yè)務(wù)信息由未受保護(hù)的消費級設(shè)備所保存及訪問，”他補(bǔ)充稱。

Durbin同時指出，實際上我們做好應(yīng)對最差情況的準(zhǔn)備，即在制定反BYOx管理政策的情況下、用戶仍然想盡一切辦法利用自有設(shè)備處理日常工作。

“這有點像嘗試阻扼浪潮涌動，”他表示。“雖然用一點沙子就能暫時擋住其沖擊，但水流總能找到突破的方式。用戶的力量在現(xiàn)代辦公環(huán)境下實在太過巨大。”#p#

5. 致力于人為因素的控制

[[124545]]

談到這一話題，我們就不能不提每家企業(yè)當(dāng)中規(guī)模最龐大的資產(chǎn)兼且最為脆弱的目標(biāo)：人。

在過去幾十年中，企業(yè)已經(jīng)花費成百上千萬、甚至數(shù)十億美元推動信息安全意識的普及工作。Durbin指出，這種作法的深層理由在于，企業(yè)意識到人作為業(yè)務(wù)活動中基本要素的巨大影響能力，并希望利用此類方案改變其行為方式、從而依靠每一位員工對于職責(zé)及正確實踐方式的認(rèn)知對抗各類潛在安全風(fēng)險。

不過殘酷的事實已經(jīng)并仍在不斷證明，這種價值主張根本無從實現(xiàn)，Durbin強(qiáng)調(diào)稱。相反，企業(yè)需要以更為積極主動的安全態(tài)度調(diào)整自身業(yè)務(wù)流程，將員工由風(fēng)險根源轉(zhuǎn)化為企業(yè)安全事務(wù)中的第一道強(qiáng)大防線。

“隨著2015年的逐漸來臨，企業(yè)需要轉(zhuǎn)變思維、由以往的問題發(fā)現(xiàn)轉(zhuǎn)化為創(chuàng)建對應(yīng)解決方案并將能夠切實消減風(fēng)險程度的信息安全保障手段融入其中，”Durbin表示。“風(fēng)險真實存在，因為人們的實際表現(xiàn)仍是個‘未知數(shù)’。很多企業(yè)已經(jīng)意識到人力是其規(guī)模最為龐大的資產(chǎn)類型，而大部分員工仍然無法清醒意識到‘人為因素’在信息安全領(lǐng)域中的重要地位。從本質(zhì)角度看，人為因素應(yīng)當(dāng)是一家企業(yè)強(qiáng)大控制體系中的重要甚至核心組成部分。”

“相對于單純要求員工了為相關(guān)信息安全負(fù)責(zé)并掌握應(yīng)對措施，各類規(guī)模企業(yè)真正該做的是引入積極的信息安全控制手段，從而將‘三思而后行’作為組織中信息安全文化中的一大良好習(xí)慣與立足根基，”Durbin指出。“盡管多數(shù)企業(yè)都擁有現(xiàn)成的合規(guī)性實施方案，但‘安全意識’的缺失往往使其無法切實起效。真正的商業(yè)性驅(qū)動力應(yīng)該在于風(fēng)險本身以及如何利用新型應(yīng)對方式降低此類風(fēng)險。”

原文鏈接：http://www.cio.com/article/2857673/security0/5-information-security-trends-that-will-dominate-2015.html