2018年最大的9个信息安全威胁

信息安全威胁景观不断发展。为了帮助您驾驭地形，每年都是信息安全论坛（ISF） - 代表其成员研究和分析安全和风险管理问题的非营利组织 - 提出其威胁地平线报告为会员提供超过两年的时间内最大的安全威胁的前瞻性观点。接下来是在地平线上的九个最大的威胁，到2018年，您的组织可能需要管理和减轻。

技术已经是现代社会日常生活的一个组成部分。ISF预测，只有在未来两年的过程中只会增加 - 无论是在商业和个人层面。“我们现在所做的一切都是如此本质上依赖于技术，”ISF的董事总经理史蒂夫德华说。“组织肯定是开始了解他们需要看他们如何如何最大化这种特定趋势的有效性而不是握住大海。”但随着组织通过改善的连通性来最大限度地提高他们的效率和有效性，德宾表示，他们也将在扩大和更复杂的威胁景观中向相关威胁开放。

随着实时数据收集的价值变得清晰，物联网(IoT)正在迅速发展。无论是优化昂贵工业设备的正常运行时间、监控流量、收集实时健康信息，还是无数其他用途，组织和个人都在采用物联网设备。但用于收集数据的设备并不一定是安全的，这可能会造成进入组织的后门。由于允许组织以客户不希望的方式使用个人数据的模糊条款和条件，物联网生态系统越来越缺乏透明度，组织可能还会在隐私问题上遇到麻烦。“这对组织来说是一个特别的挑战，我们需要思考，”德宾说。“没有人走进一家商店说，‘给我最安全的设备。’他们想要的是最好看或最有特色的那一个。”ISF建议你做以下事情:

• 实施将物联网设备添加到网络的安全流程，或因数据保护不力而面临监管罚款和声誉损害的风险。
• 在部署物联网之前，就数据收集征求同意，不仅要考虑收集哪些信息，还要考虑允许与谁共享哪些信息。
• 确保使用客户数据的条件是透明的，符合监管要求。
• 看物联网的安全性整体上考虑，而不是处理的隔离装置。

组织越来越多地使用算法来运营和做出在关键系统中的决策 - 从自助停车车到自动交易。在这些决定的中心没有人类，组织对其系统如何运作和互动的可见性较小。Durbin表示，这种缺乏透明度造成了显着的安全风险，可能会在创建导致显着中断的事件之间的算法之间的意外相互作用。一个例子是2014年10月的美国财政债券的“闪存崩溃”，当算法短暂地驱动债券在纠正之前急剧下降。“我们知道他们会从时地做一些古怪的事情，”德林说。“您需要了解您必须算法系统的一些曝光。我们在算法上构建了越来越多的系统 - 工业控制，关键基础设施。我们需要越来越大的风险我们需要解决。“ISF建议你做以下事情:

• 识别与算法控制系统的接触，并知道何时人类参与是一种责任，何时是一种故障保护措施。
• 更新代码维护策略。
• 识别从算法相关事件治疗风险的替代方式，特别是如果保险不是一种选择。
• 实施稳健的业务连续性和弹性计划。

流氓政府已经在资金、武器和后勤方面支持恐怖组织，这样他们就可以在不知情的情况下进行秘密行动。ISF认为，在未来两年内，这种支持将扩大到包括网络攻击能力(知识、培训、软件和硬件)，用于攻击其他国家的基础设施或组织。这将导致比许多组织以前经历过的更持久和更具破坏性的网络攻击。德宾指出，涉及伊斯兰国(IS)等恐怖组织的网络事件已经发生。德宾警告说，虽然参与关键基础设施建设的大型企业可能是早期目标，但这些大型企业供应链中的小型企业也可能被视为进入这些企业的一条途径。他表示:“我们预计，这种情况不仅会持续，而且可能会增加。”“这是一个不同级别的威胁。这与经济利益或控制无关。这要险恶得多。这些攻击可能比我们在网络罪犯身上看到的更激进或更持久。” The ISF recommends you do the following:

• 调整风险管理流程，以考虑具有新能力的威胁行为体，如恐怖组织，并通过定期的情景规划加强这一点。
• 审查现有的控制并专注于增加弹性。
• 探索与面临类似威胁，政府和组织威胁情报合作的可能性。

Durbin说，已建立的信息风险管理方法将受到各种(通常是非恶意的)行为者的侵蚀或破坏。德宾说:“到处都有足够多的网络攻击让人们忙个不停。”“但正在发生的其他事情正在损害我们的风险管理能力。”

在过去几年中，ISF警告说，董事会和首席执行官并不欣赏安全价值，将其命名为最大威胁。但那发生了变化。董事会已批准增加信息安全预算，他们希望看到即时结果。安全已经迁移到议程的顶端，但德连说，董事会不明白对信息安全的大量改进将需要时间 - 即使该组织已经拥有正确的技能和能力。Durbin警告董事会的期望将迅速加速超越其信息安全功能提供的能力。“董事会正在以与其他商业问题相同的方式查看这一问题，”德林说，注意到董事会经常有季度审查周期并期望在这方面取得重大进展。“安全被拉入了这个类似的循环，但很多东西都比这更长。”ISF建议你做以下事情:

• 定期与董事会接触，根据董事会的风险偏好提供可信的风险观点。
• 对齐的基础上，CISO和信息安全功能的当前和未来的能力，安全性改进董事会的预期。
• 启动人才计划，将技术专家转换为可信任的商业伙伴的CISO和信息安全功能。
• 从那些谁已经转变为值得信赖的商业伙伴学习。

随着软件在所有主要行业领域取代了硬件，德宾说，定期的安全研究人员发现安全漏洞，使他们在提高安全性的努力公众。但是，制造商已经开始应对法律诉讼而不是研究人员努力修复漏洞这一趋势。该ISF认为这一趋势将变得更加普遍，在未来两年内，让客户与漏洞厂商都隐藏而不是固定百出的软件。

德宾说:“我们已经看到越来越多的研究人员因为诉讼而保持沉默。他指出，澳大利亚一家大型零售商对此做出了回应，向那些能在系统启动前破解其系统的白帽黑客提供奖金。他补充道:“你需要非常勇敢地去做，当然你也需要得到公司高层的批准。”ISF建议技术购买者在采购过程中坚持更大的透明度，包括访问制造商的漏洞发现政策和外部漏洞测试结果。对于制造商来说，ISF建议您考虑为负责任地披露漏洞的研究人员提供经济奖励。如有需要，利用调解服务同意令人满意的披露做法。

该ISF认为，在未来两年内几个大数据泄露将导致那些提供网络保险和错误定价风险的保险公司显著的经济损失。他们预计，许多保险公司从市场大幅撤出，结果，设置投保人更严格的要求，缩小现有产品的范围，增加保费和限制承保部门以较少的感知风险。已变得依赖于网络风险的保险机构可能会感到刺痛。“我认为越来越多的保险公司都理解，这是一个复杂的领域，”德宾说。“标准的精算方法来写保单或许并不适用。”ISF建议你做以下事情:

• 重新评估风险管理策略在危机之前，特别是通过网络保险转移的风险程度。
• 检查网络保险政策中潜在的昂贵排除。

ISF认为，未来两年，世界各国政府将对审查公民使用的新技术产品和服务产生更大的兴趣。报告预测，政府将开始采取一种更具侵入性的方式来处理处理个人信息的组织，特别是大型科技公司。“政府已经意识到，他们需要参与一些事情。我们看到了一些相当古怪的行为，”德宾说，并指出欧盟去年决定不再承认安全港。他补充说:“我们还看到，世界上其他一些国家的政府利用恐怖主义等潜在威胁，推出了一些本来无法通过的立法。”

该ISF认为，企业与被打乱他们的攻击性板块商业策略 - 像尤伯杯理念，Airbnb和谷歌公司 - 将会提示政治家和监管者采取的新技术对国内的影响一探究竟。他们将与反竞争行为的检查开始，但预计ISF调控蔓延至包括跨更广泛的技术部门的产品和服务提供商。该ISF认为，政府的这些技术的认识将会比自己的社会和政治影响的理解更快，导致反应性的，并且也不鼓励本国公民的经济增长，也没有增加数据保护考虑不周的政府政策。作为一个例子，你可以期望从全球到国家的云层限制组织对世界各地的自由移动数据能力的举措。ISF建议你做以下事情:

• 通过了解其内的产品和提供服务的当地环境，避免政治上的反对。这对于规模快速和有他们的总部都设在国外的最小物理存在组织一个特别的挑战。
• 制定政治影响力和参与一个明确的战略，重点监管的原则为基础的系统（而不是符合性检测清单）上。
• 探索集体影响的可能性，例如加入或启动一个行业协会。

ISF称，未来两年，监管和立法方面的变化将对个人数据的收集、存储、交换和处理方式施加新的限制。依赖云服务的组织可能会受到特别严重的影响。他们将在努力保持符合新的数据保护和数据本地化要求的同时，努力像往常一样开展业务。杜宾指出的位置数据成为一个特别紧迫的问题推翻后美欧安全港协议在2015年10月,欧盟和新推出的通用数据保护法规将使情况变得更加复杂和广泛的法规遵循需求支持的重大违规的罚款。德宾说:“监管机构希望看到公司负起责任。”“我确实认为，监管机构会认为，如果你已经尽了一切可能，但仍然存在违规行为?好吧。但它必然会影响我们使用云的方式。”ISF建议你做以下事情:

• 了解当前和拟议的法规和立法如何根据日益增长的政治和公众对更多数据保护的需求而演变。
• 不要等待。要积极主动，为监管情绪正在转变的地区的变化做好准备。

网络犯罪分子现在拥有技术能力，并能触及政府和其他组织。在接下来的两年里，ISF相信他们的能力将远远超过那些受害者。这将削弱当前控制机制保护组织的能力。各组织将向执法机构和政府寻求援助，但犯罪分子——他们通常攻击本国以外的组织——将继续利用能力差异很大的执法机构之间缺乏跨国界合作的情况来逃避起诉。ISF认为，这些组织将遭受更多的破坏性袭击，向政府求助的机会也将减少。“罪犯并不愚蠢，”德宾说。他说:“他们明白，多国警力的执行方式并不一致。犯罪地点和犯罪人之间不一定有直接的联系。从执法的角度来看，这提出了一个非常大的挑战。”ISF建议你做以下事情:

• 在短期内，及时了解网络犯罪的演变和制定适当的控制和强大的，有弹性的系统。
• 在中期，建立威胁情报能力，以便定期进行风险评估，并尽可能充分了解。
• 从长远来看，积极影响政府合作，建立一个能有效打击网络犯罪的国际法律框架。