信息安全威胁格局不断演变。为了帮助您在这个领域中导航,每年信息安全论坛(ISF)——一个代表其成员研究和分析安全和风险管理问题的非盈利组织——都会发布它的威胁地平线报告旨在向成员提供对未来两年最大安全威胁的前瞻性看法。以下是到2019年您的组织可能必须管理和缓解的9个最大威胁。
主题1:过度依赖脆弱的互联互通带来的破坏
当今的组织依赖于即时且不间断的连接、智能物理设备和可靠的人。但这种依赖使它们容易受到核心互联网基础设施、日常业务中使用的设备和访问关键任务信息的关键人员的攻击。
“我们一直依赖于互联网上太久,”史蒂夫·德宾,在ISF的董事总经理。“我们已经得到的地方,我们认为这是任何其他实用的地步。如果你突然被电的,这是一个重大的问题公司已经备份到位等公共事业 - 。发电机比如没有人真正做到这一点的互联网。他们只是以为它会在那里。”
德宾说,为了保护自己,组织需要重新考虑他们的防御模式,特别是在业务连续性和灾难恢复计划方面。依赖在家工作的员工的计划无法经受住那些破坏连接或针对关键个人的攻击。ISF建议修订后的计划应包括对人身安全的威胁以及对基础设施、设备或人员的攻击所导致的操作停机时间。
有预谋的网络中断使贸易陷入瘫痪
ISF预测,随着全球冲突在数量和严重程度上的增加,在未来两年内,国家和其他组织将寻求新的方式来造成大范围的破坏,包括地方甚至地区层面的互联网中断。商业和政府组织很可能被视为合法的目标,如果通讯系统失灵,贸易停滞,工业将损失数百万美元。
德宾说,鉴于“准时制”供应链模式越来越普遍,即使是短暂的中断也可能导致供应短缺。金融服务机构也很脆弱,针对它们的停机可能会导致连锁性的故障。例如,如果清算所(支付清算的机构)失去连接性,所有行业的组织可能在此期间失去发起或接收支付的能力。甚至像执法这样的政府服务也依赖于通讯的连通性。
在这个领域的攻击可能涉及物理性切断电缆(可能是在海上,其中维修可能需要显著时间),使得DNS根或数据中心没用,分布式拒绝服务(DDoS)攻击是具庞大的僵尸网络,甚至操纵互联网地址和路由,以保证行车在其规定的目标不到位。
ISF说,控制这类袭击造成的混乱需要中央政府通过国家关键基础设施项目进行协调。单个组织还必须了解它们对internet的依赖程度,并制定相应的计划,以应对相对频繁地发生的攻击风险。
该ISF建议您做到以下几点:
- 与内部和外部的利益相关者接合同意通信的替代方法
- 发展与区域机构(例如,政府,竞争对手,行业论坛)的关系,以创造在互联网通信失败新的,规范应急预案
- 评估通讯服务供应商的应变计划;坚持与标准化或组织化的计划保持一致,同时通过伙伴关系确保差距得到解决
- 为关键系统和服务规划替代供应链模型
勒索劫持物联网
犯罪分子越来越多地从勒索获利 - 加密受害者的数据,然后要求苛刻的加密密钥付款。根据赛门铁克去年发布的一份报告在美国,罪犯索要数据的平均赎金从2015年的294美元跃升至2016年的679美元。美国联邦调查局(FBI)去年估计,到2016年底,网络犯罪分子将从勒索软件中获得约10亿美元的收入。
[相关:2017年安全预测]
ISF认为,在未来两年内,网络犯罪分子将越来越多地把他们的勒索努力集中在连接物联网(IoT)的智能设备上。攻击者可能会为了赎金而持有特定的设备,但ISF相信他们也会利用这些设备作为网关,在整个组织的其他设备和系统上安装勒索软件。
这种攻击可能扰乱企业经营和自动化生产线的潜力。但他们也可以证明致命的,如果他们影响医疗植入物或车辆部件。
“医疗设备制造,我们已经把所有的这些‘东西’在那里,”德宾说。“无人驾驶汽车,交通,铁路,金融服务,我们已经嵌入在所有这些领域的智能设备,但我们从来没有真正通过对下一阶段想的事情。所有这些东西在现实世界中也有出,这是一个有点像关上马厩的门为时已后“。
德宾说,连接设备的制造商需要与客户合作解决安全漏洞,并在最低限度,确保基本安全功能始终处于启用状态。所有的组织都需要确定他们目前如何使用连接的设备,他们计划如何在未来增加使用什么的影响是,如果一个或多个设备被勒索的影响。
ISF建议您采取以下行动:
- 向制造商(例如,通过行业机构)施加压力,在设备中构建全面的安全功能。
- 与行业机构合作,游说(并影响)监管,确保物联网设备的最低安全标准。
- 提高整个组织的勒索软件威胁,要求物联网设备采购的最低安全要求。
- 将iot相关的勒索软件场景合并到您的业务连续性计划中,并定期运行模拟。
- 与制造商和客户合作,收集有关你使用的物联网设备的威胁情报。
特权业内人士被迫放弃了王冠上的宝石
你的企业可能是高科技和数字化的,但你的员工生活在现实世界中,这让他们很容易受到敲诈、恐吓和暴力。ISF表示,在未来两年内,资金充足的犯罪集团将把其全球影响力和数字专长与非常现实的暴力威胁结合起来,威胁享有特权的内部人士放弃关键的信息资产(例如,财务细节、知识产权和战略计划)。
这些享有特权的内部人员可能是高级业务经理和高层管理人员,但也可能是他们的个人助理、系统管理员、基础设施架构师、网络支持工程师,甚至是特定的外部承包商。极端的情况可能包括“老虎绑架”内幕人士的家庭。
ISF认为,犯罪团伙可能会求助于这些方法,原因有三:
- 他们可以显著降低网络的专业知识,他们需要与替换的专业知识水平的“肌肉”。
- 他们可以继续访问受损的个体,并说服他们再次采取行动。
- 而在操作,他们可以窃取关键信息“敬而远之”。
为了保护自己免受这些威胁,ISF建议你采取以下行动:
- 识别你的关键任务信息资产和拥有并访问它们的个人。
- 投资采取特别措施保护享有特权的个人(例如,物理安全预防措施的指导;接触社会工程方法)。
- 实施机制来保护你对内部威胁的组织(例如,屏幕的雇员;嵌入雇佣合同相应条款)。
- 对享有特权的内部人员采用“信任但验证”的方法(例如,培养信任文化,同时验证和监视适当的系统访问)。
主题2:信任信息的完整性丧失失真
要做出正确的决定,您的业务依赖于准确,可靠的信息。如果该信息的完整性被破坏,那么您的业务。这个问题与“假新闻”已经开始纷飞各地的主要政治人物而声名鹊起最近。该ISF认为,在未来的两年中,攻击者造谣歪曲或在目标的声誉和经营效益为代价取得竞争或经济优势的希望内部信息。
德宾说:“随着数据量增加到目前的水平,我们已经到了一个地步,任何人都绝对不可能真正绝对确保数据的完整性。”“我们如何与企业合作,以确保我们提供的信息尽可能准确地帮助他们做出决策?”我们将看到这种变化,尤其是在企业内部看待CISO的方式。我们一直认为这是一个IT安全的问题,但是CISOs一直在谈论他们的角色,以及他们如何更多地反映业务;这更像是信息领域的风险管理。”
德宾说,企业可以通过积极的手段减少误报的效果:监视别人怎么说的组织网络和跟踪内部信息发提供预警信号的变化。
自动化的错误信息可以获得即时的可信度
人工智能(AI)角色的进步使得聊天机器人的诞生成为可能,而聊天机器人将很快与人类难以区分。攻击者将能够利用这些聊天机器人传播针对商业组织的错误信息:攻击者在不突破组织的数字边界的情况下,通过传播关于其工作实践或产品的令人信服的错误信息,可能会损害该组织的声誉。一个攻击者可以部署数百个聊天机器人,每个机器人都在社交媒体和新闻网站上传播恶意信息和谣言。
攻击不只是针对声誉。假新闻也可以用来操纵公司的股价。德国支付公司Wirecard AG在去年2月发现了这一点,当时一份虚假报告“详细”了该公司的欺诈活动。尽管该报道后来被证明是假的,但该公司股价暴跌,并花了三个月的时间才恢复。
你无法阻止聊天机器人传播关于你公司的错误信息,但认识到威胁和事件响应计划可以减轻损害。
为了保护您的组织,ISF建议您做以下工作:
- 构建将错误信息传播到整个事件管理流程的场景。
- 扩展之前,大机构的公告或事件发生后监控社交媒体。
- 与行业机构联合起来,游说政府和监管机构调查识别和起诉传播假新闻和虚假信息者的方法。
- 考虑增加现有的社交媒体输出到主动计数器误传传播(例如,鼓励员工传播合法的新闻和报告可疑的职位。
伪造的信息会损害性能
组织越来越依赖于数据来驱动他们的决策,这意味着罪犯和竞争者可以在他们的威胁工具箱中添加信息失真。ISF认为,在未来两年内,针对信息完整性的三种攻击将变得司空见惯:
- 歪曲的分析系统中使用的大数据集。
- 操纵财务记录和报告,或银行账户的详细信息。
- 在泄露信息之前修改信息。
例如,考虑公用事业公司,分析来自智能电表的数据,以平衡电力它所产生针对当前需求的量。攻击者可以操纵智能电表的数据错误地显示出很高的需求。这样的操作可能导致发电激增。如果浪涌是显著的是,它可能会导致供电网失败。
虚假或失真的数据也可能显著影响药物研究,这是越来越多地转向大数据分析,以提高建模和试运行的新药物的速度。
德宾说,企业需要现在就开始准备,以确保信息的风险评估解决的可能性和对完整性的攻击影响。
为了做好准备,ISF建议你采取以下行动: