明年,5个不同威胁将造成同一效果:安全事件率上升,程度更严重。这一结论是上万名安全专业人士参与的信息安全论坛(ISF)得出的。
这5个主要的网络安全威胁是:
犯罪即服务的持续进化
不受控的IoT风险
监管复杂性
供应链安全
董事会期待值与安全能力的不匹配
犯罪即服务影响的增长,是最大的担忧,这是有组织网络犯罪越来越专业化的结果。事实上,犯罪即服务已臻成熟,犯罪组织为初级罪犯提供了唾手可得的渠道。明年我们将看到攻击变得更加复杂和有针对性。其中一个问题是,网络罪犯变得精于共享信息,可以做一些“好人”不太擅长的事情,比如情报共享。
网络犯罪就是个巨大的伞式组织。其下覆盖着运作精良的大型网络犯罪团伙——有组织犯罪,也就是持续招募扩张,乐于售卖产品及服务给其他人的那类。至于说罪犯更精于沟通,这与良好的企业运营类似:他们有市场营销计划;有外展方案;还有围绕作为犯罪即服务的一部分所提供服务的一些沟通。他们的方法和漏洞利用程序不会共享到让竞争者可以使用的程度,但他们会作为推广而共享。在更高级的层次,网络犯罪运营特别像是专业的公司。
有些源自东欧国家的有组织犯罪团伙堪称“巨大”,并辅以很多较小的精干组织,而且更为认上担心的是,依托犯罪即服务而涌入网络犯罪世界的那些无组织的跟风者。这些人破坏并恶化了已被接受的现状,比如勒索软件。
以前网络罪犯只对用勒索软件赚钱感兴趣,罪犯会释放某种恶意软件到系统中,让受害者无法访问需要的信息,这样他们就能收到一定数量的赎金。这便足以让罪犯获得收益,但还不至于到受害者不愿意支付,或支付不起的程度。
但如今我们看到的,是不遵守这些规则的勒索元素。比如,赎金支付了都不交出解密密钥;而这就是让人担忧的地方——因为游戏规则被改变了。简言之,网络犯罪通过犯罪即服务走上商品化道路,引来了无政府状态,让防御者难以计划应对,让有组织犯罪难以维持其有组织性。
第2个威胁是物联网(IoT),有2个主要方面令人担忧。首先,家用设备不安全,默认口令总是没修改,而且人们惯于将工作带回家。但关键基础设施中的IoT才是真正的痛点。如果从一张白纸开始,规定和立法会有作用,但事实并非如此。制造业多年以前就开始安装各种嵌入式设备了。那个时候,制造企业压根儿不觉得安全是个问题,各公司也对自己使用的全部设备有清晰完整的可见性。
比如说,一家福布斯全球2000强公司,关停自家工厂过程中就出了事。某些机器突然又开动了——因为有些IoT设备接入了互联网,而他们完全没注意到。该公司忘记了这部分自己拥有的IoT,而这些IoT设备是可以自主重启机器的。
第3个新兴威胁,是监管的愈趋繁重和复杂。虽然是用来改善安全的,但也有将注意力和资源从重要安全项目上拉走的可能性。《通用数据保护条例》(GDPR),就是要求繁复且利益相关者对之缺乏了解的典型案例。但GDPR绝不是即将付诸实施的唯一一项新监管条例,而合规责任的不断增加,以及各国立法差异,会加大跨国公司和国际贸易企业的负担。
第4及第5个新兴威胁——供应链及董事会期待值与安全能力的不匹配,是个一体两面的问题。虽然高级管理层越来越重视安全,也为公司安全负起更多责任,但依然不了解其安全团队在干什么,甚或有没有能力来维护公司安全。第三方相关公司、第四方、第五方等等(也就是供应链),也会发生这种情况。但如果说董事会并不真正了解其自身安全能力,那他们对供应链安全的理解只能说是更少得可怜了。这就是商业数字化过程中快速增大的一个威胁界面。
解决方案只能来自于将安全烙印到公司的整体风气中,让安全团队成为一个整体理念,而不是与己无关的独立部门。有些前瞩性的专家常谈到,未来不再专设安全人员的那一天,也就是公司强烈意识到安全的不可或缺,安全已完全融入到企业功能中的那一天。安全必须从一开始就内嵌到企业中,目前我们距之甚远,但CISO面临的挑战已近在眼前,他们需要沟通,需要受到公司的重视。
恐怕只有到了公司设计中融入安全成为现实的那一天,ISF列出的全部五大新兴威胁,才会被纳入某种程度的控制之下。同时,安全事件将会继续增多,安全状况也只会越来越糟。
免责声明:本文仅代表作者个人观点,与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
