也許很多朋友將2017年視為數(shù)據(jù)泄露領(lǐng)域的恐怖一年－－不過(guò)別著急，真正的“驚喜”也許將出現(xiàn)在2018年。信息安全論壇（簡(jiǎn)稱ISF）是一個(gè)專注于網(wǎng)絡(luò)安全與信息風(fēng)險(xiǎn)管理工作的全球性獨(dú)立信息安全機(jī)構(gòu)，負(fù)責(zé)預(yù)測(cè)可能增加數(shù)據(jù)泄露事件的影響因素與事件具體數(shù)量。而面對(duì)2018年，該機(jī)構(gòu)提出了五大全球范圍內(nèi)最值得關(guān)注的安全威脅因素。

ISF董事總經(jīng)理Steve Durbin解釋稱，“信息安全威脅的影響范圍與速度正在給當(dāng)今最為可靠的組織的真實(shí)性與聲譽(yù)造成危害。在2018年，威脅情況還將日益復(fù)雜。具體來(lái)講，威脅活動(dòng)將根據(jù)目標(biāo)的薄弱環(huán)節(jié)進(jìn)行個(gè)性化設(shè)計(jì)，或者根據(jù)已經(jīng)實(shí)施的防御措施進(jìn)行變形?？偨Y(jié)而言，未來(lái)網(wǎng)絡(luò)威脅的危害程度將超過(guò)以往任何時(shí)候?！?/p>

Durbin指出，隨著數(shù)據(jù)泄露事故數(shù)量的增長(zhǎng)，泄露記錄量亦將不斷提升。正因?yàn)槿绱?，?duì)各類規(guī)模的企業(yè)而言，攻擊活動(dòng)所帶來(lái)的經(jīng)濟(jì)損失將更為可觀。Durbin強(qiáng)調(diào)稱，在網(wǎng)絡(luò)清理與客戶通知等傳統(tǒng)領(lǐng)域，將會(huì)有一些解決方案能夠抵消部分此類成本； 但新的攻擊特性將帶來(lái)其它額外成本－－例如涉及越來(lái)越多訴訟活動(dòng)。ISF預(yù)測(cè)稱，憤怒的客戶將迫使政府采取更為嚴(yán)格的數(shù)據(jù)保護(hù)立法，而這自然會(huì)給企業(yè)帶來(lái)新的成本。

根據(jù)ISF方面的報(bào)告，推動(dòng)這一趨勢(shì)的將是以下五大2018年全球性安全威脅因素：

犯罪即服務(wù)（簡(jiǎn)稱CaaS）將擴(kuò)展現(xiàn)有工具與服務(wù)。

物聯(lián)網(wǎng)將進(jìn)一步增加管理外風(fēng)險(xiǎn)。

供應(yīng)鏈將繼續(xù)成為風(fēng)險(xiǎn)管理領(lǐng)域中的最弱一環(huán)。

監(jiān)管要求會(huì)增加關(guān)鍵資產(chǎn)管理工作的復(fù)雜性。

重大安全事故處理工作無(wú)法達(dá)到董事會(huì)預(yù)期。

犯罪即服務(wù)

去年，ISF預(yù)計(jì)CaaS將會(huì)迎來(lái)新的飛躍，各犯罪集團(tuán)將進(jìn)一步發(fā)展出與大型私營(yíng)企業(yè)類似的復(fù)雜層級(jí)、伙伴關(guān)系與合作網(wǎng)絡(luò)。

Durbin表示，這一預(yù)測(cè)確實(shí)擁有理論依據(jù)，因?yàn)?017年“網(wǎng)絡(luò)犯罪，特別是犯罪即服務(wù)”類活動(dòng)呈現(xiàn)大幅升溫之勢(shì)。ISF預(yù)測(cè)，這一態(tài)勢(shì)將在2018年繼續(xù)。而各犯罪組織將進(jìn)一步以多樣化方式進(jìn)入新的市場(chǎng)領(lǐng)域，并在全球范圍內(nèi)實(shí)現(xiàn)犯罪活動(dòng)商品化。ISF方面指出，一部分犯罪組織將植根于現(xiàn)有犯罪結(jié)構(gòu)，而其它一些組織將專注于實(shí)施網(wǎng)絡(luò)犯罪行為。

至于明年的主要區(qū)別所在？Durbin表示，在2018年，CaaS將允許不具備太多技術(shù)知識(shí)的“主觀網(wǎng)絡(luò)犯罪分子”購(gòu)買工具與服務(wù)，使其能夠?qū)嵤┰緹o(wú)法進(jìn)行的攻擊活動(dòng)。

他同時(shí)補(bǔ)充稱，“網(wǎng)絡(luò)犯罪已經(jīng)逐步脫離對(duì)大型蜜罐－－知識(shí)產(chǎn)權(quán)與大型銀行－－的單純針對(duì)?！?/p>

在加密勒索軟件方面，作為目前最為流行的惡意軟件類別，以往網(wǎng)絡(luò)犯罪分子主要依賴于一種不正當(dāng)?shù)男湃涡问绞褂美账鬈浖i定受害者的計(jì)算機(jī)，要求對(duì)方支付金錢進(jìn)行贖回，而犯罪分子隨后解鎖對(duì)方計(jì)算機(jī)。但Durbin指出，這一領(lǐng)域中網(wǎng)絡(luò)犯罪分子們的“信任”體系正在崩潰。具體來(lái)講，即使支付贖金，受害者們也仍可能無(wú)法得到解鎖其資產(chǎn)的密鑰，或者擔(dān)心網(wǎng)絡(luò)犯罪分子再次卷土重來(lái)。

與此同時(shí)，Durbin表示網(wǎng)絡(luò)犯罪分子在使用社交工程技術(shù)時(shí)正變得愈發(fā)老練。雖然目標(biāo)一般指向個(gè)人而非企業(yè)，但這種攻擊仍會(huì)對(duì)企業(yè)造成嚴(yán)重威脅。

他指出，“對(duì)我來(lái)說(shuō)，企業(yè)與個(gè)人之間的界線越來(lái)越模糊。個(gè)人開(kāi)始更多被作為企業(yè)進(jìn)行針對(duì)?！?/p>

物聯(lián)網(wǎng)

各類組織機(jī)構(gòu)越來(lái)越多地使用物聯(lián)網(wǎng)設(shè)備，但大多數(shù)此類設(shè)備在設(shè)計(jì)層面的安全性并不可靠。此外，ISF警告稱，快速發(fā)展的物聯(lián)網(wǎng)生態(tài)系統(tǒng)將越來(lái)越缺乏透明度。模糊的條款與條件允許組織機(jī)構(gòu)以客戶并不愿接受的方式使用其個(gè)人數(shù)據(jù)。在企業(yè)方面，各類組織能夠了解到哪些信息正在離開(kāi)其網(wǎng)絡(luò)，或者哪些數(shù)據(jù)正在被智能手機(jī)及智能電視等設(shè)備悄悄獲取及傳輸－－而這無(wú)疑構(gòu)成了新的問(wèn)題。

一旦發(fā)生數(shù)據(jù)泄露事件，或者發(fā)生透明度違規(guī)狀況，各類組織很可能被監(jiān)管機(jī)構(gòu)及客戶追究責(zé)任。而在最糟糕的情況下，工業(yè)控制系統(tǒng)中嵌入的物聯(lián)網(wǎng)設(shè)備很可能因安全事故而導(dǎo)致人身傷害甚至死亡。

Durbin指出，“從制造商的角度來(lái)看，了解使用模式并了解個(gè)人用戶顯然非常重要。但總體來(lái)講，新的技術(shù)載體確實(shí)帶來(lái)了遠(yuǎn)超以往的威脅因素?！?/p>

Durbin同時(shí)補(bǔ)充稱，“我們?cè)撊绾伪Ｗo(hù)物聯(lián)網(wǎng)設(shè)備，從而切實(shí)保證對(duì)其擁有控制能力？在這一領(lǐng)域，未來(lái)將會(huì)出現(xiàn)更為可靠的安全態(tài)勢(shì)感知解決方案?！?/p>

供應(yīng)鏈

ISF多年來(lái)一直在強(qiáng)調(diào)供應(yīng)鏈脆弱性問(wèn)題。正如該組織所言，各方通常會(huì)與供應(yīng)商共享多種有價(jià)值的敏感信息。而在進(jìn)行信息共享時(shí)，相關(guān)直接控制能力即徹底失效。這意味著此類共享活動(dòng)會(huì)增加信息機(jī)密性、完整性或可用性遭受破壞的風(fēng)險(xiǎn)。

Durbin指出，“去年，我們開(kāi)始看到眾多大型制造企業(yè)因?yàn)楣?yīng)鏈?zhǔn)艿接绊懚ブ圃炷芰Α！?/p>

他補(bǔ)充稱，“大家具體所處的行業(yè)并不重要，各個(gè)行業(yè)皆擁有自己的供應(yīng)鏈。我們的面臨的挑戰(zhàn)在于，我們?cè)撊绾握嬲私庾约旱男畔⑻幱谏芷谥械哪膫€(gè)階段？我們又該如何在進(jìn)行信息共享時(shí)保護(hù)其完整性？”

到2018年，各類組織機(jī)構(gòu)將需要關(guān)注供應(yīng)鏈中最為薄弱的環(huán)節(jié)。盡管我們不可能提前阻止每一項(xiàng)安全違規(guī)問(wèn)題，但大家應(yīng)與供應(yīng)商積極配合。Durbin建議采用強(qiáng)大、可擴(kuò)展且可重復(fù)的流程，從而保證保護(hù)措施與所面臨的風(fēng)險(xiǎn)成正比。各類組織機(jī)構(gòu)必須在現(xiàn)有采購(gòu)與供應(yīng)商管理流程當(dāng)中，引入供應(yīng)鏈信息風(fēng)險(xiǎn)管理方案。

監(jiān)管要求

監(jiān)管要求將進(jìn)一步增加企業(yè)運(yùn)營(yíng)的復(fù)雜性。歐盟通用數(shù)據(jù)保護(hù)條例（簡(jiǎn)稱GDPR）將于2018年年初上線，這將為關(guān)鍵資產(chǎn)管理工作增加新的復(fù)雜性因素。

Durbin指出，“事實(shí)上，通過(guò)與相關(guān)各方的溝通，我發(fā)現(xiàn)GDPR的影響幾乎無(wú)處不在。這絕不僅僅是一項(xiàng)合規(guī)性法案，同時(shí)亦要求大家確保在任何時(shí)候都能夠在企業(yè)與供應(yīng)鏈體系當(dāng)中指向個(gè)人數(shù)據(jù)、了解如何管理并保護(hù)個(gè)人數(shù)據(jù)，同時(shí)必須能夠隨時(shí)立足個(gè)人角度－－而非監(jiān)管方－－證明這種保護(hù)能力。”

他補(bǔ)充稱，“我們我們真的要正確實(shí)現(xiàn)這一要求，則將不得不改變自身業(yè)務(wù)的原本運(yùn)作方式。”

ISF方面指出，滿足GDPR要求所帶來(lái)的額外資源消耗很可能提升合規(guī)性與數(shù)據(jù)管理成本，同時(shí)迫使企業(yè)將更多精力與投資集中到這方面工作身上。

未達(dá)到董事會(huì)預(yù)期

根據(jù)ISF方面的說(shuō)法，董事會(huì)的期望與企業(yè)信息安全職能實(shí)現(xiàn)能力之間的差距將在新的一年中構(gòu)成新的威脅。

Durbin指出，“董事會(huì)通常能夠理解自身業(yè)務(wù)是在網(wǎng)絡(luò)空間中進(jìn)行運(yùn)作的。但在多數(shù)情況下，董事會(huì)并不了解安全問(wèn)題的全部含義。他們認(rèn)為CISO應(yīng)對(duì)一切擁有掌控能力。事實(shí)上，董事會(huì)并不了解如何提出正確的問(wèn)題，而CISO也不知道該如何與董事會(huì)或業(yè)務(wù)領(lǐng)導(dǎo)者進(jìn)行協(xié)商?！?/p>

ISF方面表示，董事會(huì)認(rèn)為過(guò)去幾年來(lái)持續(xù)提升信息安全預(yù)算的作法應(yīng)該使得CISO與信息安全部門能夠立即獲得成果。然而，建立完全安全的業(yè)務(wù)運(yùn)營(yíng)體系本身是一個(gè)不可能實(shí)現(xiàn)的目標(biāo)。即使明白這一點(diǎn)，董事會(huì)的大多數(shù)成員仍然不理解即使是在企業(yè)本身?yè)碛姓_的技能與能力的前提下，對(duì)信息安全作出實(shí)質(zhì)性改進(jìn)仍然需要大量時(shí)間。

這種錯(cuò)位意味著，當(dāng)發(fā)生重大事件時(shí)，不僅企業(yè)本身將受到影響，董事會(huì)成員的個(gè)人及集體聲譽(yù)也可能受到嚴(yán)重?fù)p害。

Durbin表示，正因?yàn)槿绱?，CISO的角色必須迎來(lái)變革。

他總結(jié)道，“CISO的角色如今負(fù)責(zé)預(yù)測(cè)未來(lái)威脅態(tài)勢(shì)，而非確保原有防火墻能夠繼續(xù)維持。大家必須預(yù)測(cè)未來(lái)可能出現(xiàn)的威脅并考慮其會(huì)對(duì)業(yè)務(wù)造成哪些影響，而后將結(jié)論清晰表達(dá)給董事會(huì)成員。一位優(yōu)秀的CISO應(yīng)當(dāng)是一名卓越的銷售人員與一位顧問(wèn)。如果無(wú)法兼得，即雖然身為一名出色的顧問(wèn)，但大家無(wú)法將自己的觀點(diǎn)傳遞給對(duì)方并獲取認(rèn)同，那么董事會(huì)將繼續(xù)作為干擾性因素存在?！?/p>