資訊安全威脅環境一直都在演變。 為了提供應對幫助, 致力於研究與分析安全與風險管理問題的非營利組織資訊安全論壇(ISF)每一年都會發佈Threat Horizon報告,
主題一過度依賴脆弱的網路連接
如今的企業非常依賴即時且不間斷的網路連接, 而這種依賴性使其核心網路基礎設施以及日常業務中使用的設備極易遭受網路攻擊。
ISF總經理史蒂夫·杜賓(Steve Durbin)表示:“當今社會, 人們對互聯網的依賴程度不斷加深, 如果遭遇突然斷電的情況, 就會帶來很多問題。 為了保護自身資訊安全, Durbin認為, 組織需要重新思考其防禦模式, 特別是關於業務連續性和災難恢復計畫。
ISF建議修訂的計畫需要涵蓋對物理安全的威脅以及對基礎設施,
1. 有預謀的互聯網中斷導致貿易癱瘓
隨著全球衝突數量和程度的不斷增加, ISF預測, 在未來兩年內, 國家和其他組織將尋求新的方式造成大規模的網路服務中斷, 包括當地甚至地區層面上的互聯網服務中斷。 而商業和政府機構可能會成為最大的攻擊目標, 而一旦這些機構的通信系統發生故障, 就會導致貿易癱瘓, 相關行業就會損失數百萬美元。
Durbin表示, 鑒於“即時”供應鏈模式日益普及, 即使是短暫的服務中斷也會造成嚴重的後果。 同時, 金融服務機構也深受該威脅影響, 針對該機構的網路中斷可能會造成“瀑布效應(即連鎖故障效應)”。 例如, 一旦清算所(結算付款的機構)失去網路連接, 所有行業內的機構都會失去發送或接收付款的能力。 即使是像執法部門這種政府服務機構也非常依賴網路通信的連通性。
該領域的攻擊可能涉及物理切割電纜(可能是海底電纜, 維修需要花費大量時間)、使根DNS或資料中心無法運行、利用僵屍網路發動大規模DDoS攻擊,
ISF表示, 這種攻擊引起的混亂需要中央政府通過國家重要基礎設施項目進行協調。 個體組織也必須瞭解其對互聯網的依賴程度, 並制定相關政策以解決頻繁發生此類攻擊的風險。
ISF建議您執行如下操作:
與內部和外部利益相關者溝通選擇其他替代的通信方式;
與區域機構(例如政府、競爭對手以及行業組織)建立合作關係, 制定新的、標準化的應急計畫來處理互聯網服務中斷的問題;
評估通信提供商的應急計畫;
為關鍵系統和服務尋找替代供應鏈模型;
2. 勒索軟體劫持物聯網設備
通過加密受害者資料, 隨後勒索受害者支付贖金換取加密金鑰的行為, 使得犯罪分子獲利良多。 根據賽門鐵克去年發佈的一份報告顯示, 犯罪分子勒索的贖金數量從2015年的294美元已經上漲到了2016年的679美元。 美國聯邦調查局去年估計, 2016年底, 網路犯罪分子通過勒索軟體攻擊獲取的利潤已經高達約10億美元。
ISF認為,在未來兩年,網路犯罪分子將越來越多地將勒索軟體攻擊重點放在連接到物聯網(IoT)的智慧設備上。攻擊者可以攻擊特定的設備索要贖金,但ISF認為他們也會使用這些物聯網設備作為跳板,進而入侵整個組織中的其他設備和系統再索要贖金。
這種攻擊不僅會破壞業務運作和自動化生產線,一旦攻擊者將攻擊目標瞄準醫療設備或車輛,它帶來的危害可能是致命的。
Durbin表示,聯網設備的製造商需要與客戶合作解決安全性漏洞問題,所有企業都必須明確他們當前使用了哪些聯網設備?未來計畫增加哪些設備?以及如果一個或多個聯網設備受到勒索軟體攻擊時會造成什麼影響?
ISF建議您採取如下措施:
給製造商(例如通過行業機構)施壓以確保將全面的安全功能構建到了設備之中;
與行業機構共同監管以確保物聯網設備符合最基本的安全標準;
規定採購物聯網設備的最低安全要求;
將與物聯網相關的勒索軟體場景併入企業的業務連續性規劃中並進行常規模擬;
與製造商和客戶合作,收集有關您所使用的物聯網設備的威脅情報;
3. 特權內部人員被迫洩漏資訊
您的業務模式可能是高科技和數位化的,但是您的員工卻存在於實體世界中,這使得他們成為敲詐勒索、恐嚇和暴力威脅的受害者。ISF表示,在接下來的兩年中,資金充足的犯罪組織將把其全球影響力和數字專長與真正的暴力威脅相結合,威脅擁有特權的內部員工洩漏關鍵資訊資產(如財務細節、智慧財產權以及戰略計畫等)。
這些特權內部人員可能是高級業務經理或其他高管,也可能是這些人的個人助理、或系統管理員、基礎設施架構師、網路支援工程師甚至是特定的外部承包商等。
為了保護自己免受這種威脅,ISF建議您採取如下措施:
明確您的關鍵資訊資產以及擁有並能夠訪問這些資訊的人員;
對擁有特殊訪問權的個人採取特殊的防護措施,例如,物理安全防禦措施指導、瞭解社會工程的相關手段和防禦措施等;
制定防禦機制,保護您的組織免受內部威脅,例如,篩選應聘人員並在雇傭合約中加入適當的條款;
對內部特權人員採取信任但驗證的方法,例如,培養信任文化,同時對訪問系統行為進行適當地驗證和監控。
主題二資訊完整性遭到破壞
為了做出正確的決策,需要依賴非常準確可靠的資訊。如果資訊的完整性遭到破壞,你的業務也必將受到破壞。最近這個問題已經逐漸凸顯,但是目前“虛假資訊”的問題還主要聚焦在政治家身上。ISF認為,在未來兩年內,攻擊者將傳播謊言或虛假的內部消息,以犧牲目標企業名譽或作戰效能為代價獲取競爭優勢或金融優勢。
Durbin說:“隨著資料量的急劇增長,沒有人能夠真正做到絕對確保資料完整性的程度。企業可以通過主動手段來減少錯誤資訊帶來的影響:通過監控他人在網路上對企業發表的看法,以及跟蹤內部資訊的變化來提供預警信號。”
4. 自動化傳播錯誤資訊損壞企業信譽
人工智慧角色的發展使得各種機器人聊天室應運而生,攻擊者能夠使用這些聊天室來傳播針對商業組織的虛假資訊:攻擊者並不會破壞目標群組織的數位邊界,而是傳播有關目標群組織工作實踐或產品方面的虛假資訊來破壞該組織的名譽。一個攻擊者通常可以部署數百個聊天室,每個都可以在社交媒體或資訊網站上傳播惡意資訊和謠言。
此類攻擊不僅僅針對目標企業的名譽,同時還可以用來操作目標企業的股價。德國支付公司Wirecard AG發現,去年二月份,一份有關該公司“詳細”欺詐活動的報告發佈後(雖然報告後來被證明是假的),該公司的股價暴跌了三個月。
你無法阻止聊天機器人傳播有關公司的虛假資訊,但是及時識別威脅和制定事件回應計畫可以減輕損害。
為了保護您的組織,ISF建議您執行以下操作:
將虛假資訊傳播納入整體事件管理方案中;
在大型企業公告或資訊發佈前後擴大對社會媒體的監控;
結合行業機構的力量,請求政府和監管機構調查並起訴傳播虛假資訊的人;
考慮增加現有的社會媒體支出,主動打擊虛假資訊的傳播,如鼓勵員工傳播合法的新聞並舉報可疑的帖子等;
5. 偽造的資訊損害變現日顯
組織越來越依賴資料推動決策的制定,這就意味著,犯罪分子和競爭對手可以將虛假資訊納入其威脅工具庫中。ISF認為,在未來兩年內,三種對資訊完整性的攻擊將變得司空見慣:
扭曲分析系統使用的大資料集;
操縱財務記錄和報告,或銀行帳戶的詳細資訊;
資料洩漏前對資訊進行修改;
例如,對於一個公用事業單位而言,可以通過分析智慧電錶的資料來平衡其生成的電量與當前需求相匹配。如果攻擊者操縱智慧電錶資料,使其顯示出虛假的高需求量,就會導致發電量激增,而一旦供應大過需求太多就會導致供電電網出現故障。
虛假或篡改的資料還可能會對藥物研究產生重大影響,現在,藥物研究越來越多地轉向大資料分析,以提升新藥的建模和試用速度。而這些資料一旦被攻擊者操縱將帶來不可估計的後果。
為了預防這種威脅,ISF建議您採取以下措施:
採取措施驗證和維護關鍵資料庫的完整性;
將洩漏資訊完整性的情景納入公司業務風險評估中,讓整個組織中的利益相關者衡量其業務影響;
與同行合作,分享有關資訊完整性的威脅情報;
在公開提供任何事實證據對抗虛假資訊之前,諮詢法律專業人士意見;
使用聯合身份和訪問管理(FIAM)系統和內容管理系統(CMS)等工具對訪問和更改敏感資訊的行為進行監控;
6. 區塊鏈技術(blockchain)面臨信任危機
關於什麼是區塊鏈技術,用通俗的話闡述就是,如果我們把資料庫假設成一本帳本,讀寫資料庫就可以看做一種記帳的行為,區塊鏈技術的原理就是在一段時間內找出記帳最快最好的人,由這個人來記帳,然後將帳本的這一頁資訊發給整個系統裡的其他所有人。這也就相當於改變資料庫所有的記錄,發給全網的其他每個節點,所以區塊鏈技術也稱為分散式帳本(distributed ledger)。
目前世界各地均在對其進行研究,並開始將其廣泛應用于金融等各領域。Don Tapscott表示,到2019年,全球65%的頂級銀行將實現大規模的區塊鏈實踐。
但是,Durbin指出,像其他任何技術一樣,區塊鏈也存在被攻擊的危險。潛在的漏洞包括脆弱的加密和金鑰管理、落後的編寫程式、錯誤的許可權許可以及業務規則不完善等問題。而且一旦區塊鏈遭到破壞,受影響進程中的客戶、高級管理層以及信任用戶都將遭到損害,且需要大量的努力進行重建。
受損的區塊鏈可能會導致未經授權的交易或資料洩漏、資產轉移、欺詐甚至驗證欺詐性交易等。
為了避免這種威脅,ISF建議您執行以下操作:
組織一個贊助商或指導委員會,廣泛徵求意見並決定是否採用區塊鏈技術;
培訓員工如何安全使用區塊鏈技術,並檢測可疑活動;
使用區塊鏈來評估外部協力廠商的安全控制,例如,審核其安全控制強度(包括加密金鑰的管理和存取控制措施等);
與行業機構和專家交流,制定良好的安全事件準則;
諮詢法律專業人士瞭解使用區塊鏈技術的合同含義;
在基於區塊鏈的應用程式的設計、實現和操作過程中納入資訊安全的要求;
考慮分散式區塊鏈系統對現有管理流程的影響;
主題三安全控制被法規和技術侵蝕持續惡化
ISF認為,在過去兩年內,智慧技術的快速發展以及國家對個人隱私和安全意識的提高將導致企業控制自身資訊的能力不斷削減。
Durbin表示,旨在提高國家安全監管的新法律將要求通信供應商收集可能揭露企業秘密的資料。而這些存儲重要資料的企業可能會淪為攻擊者最有利的目標。
與此同時,Durbin還表示,像歐盟制定的《一般資料保護法案(GDPR)》將使受到監管的機構更難監控內部人的行為。GDPR要求組織公開其用來監控使用者行為的工具,如此一來,惡意內部人員就可以掌握足夠的資訊來繞過此類監控。
儘管這些因素都不是你能直接控制的,但是業務和安全領導者可以通過進行風險評估,與通信供應商進行公開談判來預防這些威脅,並諮詢法律顧問充分瞭解新法規的影響,組建一批順應先進技術要求的勞動力。
7. 監管法暴露企業機密
一些政府已經開始制定監管法,要求通信供應商收集並存儲與電子和資訊通信相關的資料,ISF預計未來兩年這種趨勢將會持續。
這類立法的目的可能是為了識別和監控恐怖分子和其他相關團體的活動,但是這些資料收集不可避免地會涉及一些機密資訊,包括各組織機構的敏感性資料等。
ISF注意到,攻擊者也已經注意到這些資料的價值,並瞭解從哪裡以及如何能夠獲取到這些資料。這些資料可能涉及並購計畫、正在開發的智慧財產權以及新產品的細節等資訊。
為保護您的組織,ISF建議您採取以下措施:
開展組織協作進行風險評估,以瞭解通信供應商丟失中繼資料會造成的影響;
與通信供應商溝通,確定責任承擔事宜並確定中繼資料安全存儲的最低要求;
與通信供應商溝通,確定通過何種方式以及何時通知你相關的入侵行為,共
同合作以降低影響;
8. 隱私條例阻礙對內部威脅的監控
根據McAfee在2015年發佈的一項研究顯示,該年度有43%的資料洩露是由內部人員造成的,包括用戶、經理、IT專業人員和承包商。由此以來也促使用戶行為分析(UBA)工具變得越來越受歡迎:Market And Markets Research 2016年發佈的一份報告預測稱,UBA工具的銷售額將從2016年的1.137億美元增長到2021年的9.083億美元,增長近600%。
但ISF表示,新的隱私條例——如歐盟GDPR、韓國個人資訊保護法(PIPA)、香港個人隱私條例以及新加坡個人資料保護法等的出臺,限制了這些工具的使用。法規明確要求雇主必須公開監控用戶行為所使用的工具。Durbin指出,透明度和創造信任文化雖好,但這些規定將幫助惡意內部人員擺脫UBA工具監控。
為了解決內部威脅和新法規的衝突,ISF建議您採取以下措施:
使員工瞭解內部人員風險,並對其進行培訓以識別可疑行為;
對內部人員進行更為正式和嚴格的存取權限審核,以確保訪問安全性;
9. 盲目地部署AI導致意想不到的後果
AI系統是自動化方面的重大創新,獨立的學習能力將使它們能夠從製造到行銷和諮詢等各領域自動化吸收日益複雜且不重複的任務。但是,Durbin指出,AI現在還正處於探索發展的階段,可能會存在很多錯誤:例如,從錯誤或不完整的資訊中學習可能會得出不準確的結論。
而一旦這些結論運用到可能影響組織名譽和業務的環境中,就會造成無法預計的後果,例如:智慧助手一旦讀取了錯誤的對話或誤解指令,就會導致訂單處理失誤等後果。
為了保護您的組織免受此威脅,ISF建議您採取以下幾個步驟:
進行組織協作以確定部署AI將對哪些領域產生效益;
招募、培養並留住掌握AI系統技能的人才;
與行業同仁和學術機構合作,開發部署AI系統的最佳實踐;
更新管理結構來有效地管理AI系統,例如,將安全性納入到設計流程中,對AI系統做出的決策進行監督,確保發生嚴重事故時可以手動關閉系統。
資訊安全威脅環境日益複雜多變,前瞻性的安全預測將有助於企業機構提前做好防範措施,希望本文能夠給你一些啟示,而兩年後的資訊安全環境究竟會如何?安在將與你共同見證……
安在
新銳丨大咖丨視頻丨白帽丨在看
長按識別二維碼 關注更多精彩
ISF認為,在未來兩年,網路犯罪分子將越來越多地將勒索軟體攻擊重點放在連接到物聯網(IoT)的智慧設備上。攻擊者可以攻擊特定的設備索要贖金,但ISF認為他們也會使用這些物聯網設備作為跳板,進而入侵整個組織中的其他設備和系統再索要贖金。
這種攻擊不僅會破壞業務運作和自動化生產線,一旦攻擊者將攻擊目標瞄準醫療設備或車輛,它帶來的危害可能是致命的。
Durbin表示,聯網設備的製造商需要與客戶合作解決安全性漏洞問題,所有企業都必須明確他們當前使用了哪些聯網設備?未來計畫增加哪些設備?以及如果一個或多個聯網設備受到勒索軟體攻擊時會造成什麼影響?
ISF建議您採取如下措施:
給製造商(例如通過行業機構)施壓以確保將全面的安全功能構建到了設備之中;
與行業機構共同監管以確保物聯網設備符合最基本的安全標準;
規定採購物聯網設備的最低安全要求;
將與物聯網相關的勒索軟體場景併入企業的業務連續性規劃中並進行常規模擬;
與製造商和客戶合作,收集有關您所使用的物聯網設備的威脅情報;
3. 特權內部人員被迫洩漏資訊
您的業務模式可能是高科技和數位化的,但是您的員工卻存在於實體世界中,這使得他們成為敲詐勒索、恐嚇和暴力威脅的受害者。ISF表示,在接下來的兩年中,資金充足的犯罪組織將把其全球影響力和數字專長與真正的暴力威脅相結合,威脅擁有特權的內部員工洩漏關鍵資訊資產(如財務細節、智慧財產權以及戰略計畫等)。
這些特權內部人員可能是高級業務經理或其他高管,也可能是這些人的個人助理、或系統管理員、基礎設施架構師、網路支援工程師甚至是特定的外部承包商等。
為了保護自己免受這種威脅,ISF建議您採取如下措施:
明確您的關鍵資訊資產以及擁有並能夠訪問這些資訊的人員;
對擁有特殊訪問權的個人採取特殊的防護措施,例如,物理安全防禦措施指導、瞭解社會工程的相關手段和防禦措施等;
制定防禦機制,保護您的組織免受內部威脅,例如,篩選應聘人員並在雇傭合約中加入適當的條款;
對內部特權人員採取信任但驗證的方法,例如,培養信任文化,同時對訪問系統行為進行適當地驗證和監控。
主題二資訊完整性遭到破壞
為了做出正確的決策,需要依賴非常準確可靠的資訊。如果資訊的完整性遭到破壞,你的業務也必將受到破壞。最近這個問題已經逐漸凸顯,但是目前“虛假資訊”的問題還主要聚焦在政治家身上。ISF認為,在未來兩年內,攻擊者將傳播謊言或虛假的內部消息,以犧牲目標企業名譽或作戰效能為代價獲取競爭優勢或金融優勢。
Durbin說:“隨著資料量的急劇增長,沒有人能夠真正做到絕對確保資料完整性的程度。企業可以通過主動手段來減少錯誤資訊帶來的影響:通過監控他人在網路上對企業發表的看法,以及跟蹤內部資訊的變化來提供預警信號。”
4. 自動化傳播錯誤資訊損壞企業信譽
人工智慧角色的發展使得各種機器人聊天室應運而生,攻擊者能夠使用這些聊天室來傳播針對商業組織的虛假資訊:攻擊者並不會破壞目標群組織的數位邊界,而是傳播有關目標群組織工作實踐或產品方面的虛假資訊來破壞該組織的名譽。一個攻擊者通常可以部署數百個聊天室,每個都可以在社交媒體或資訊網站上傳播惡意資訊和謠言。
此類攻擊不僅僅針對目標企業的名譽,同時還可以用來操作目標企業的股價。德國支付公司Wirecard AG發現,去年二月份,一份有關該公司“詳細”欺詐活動的報告發佈後(雖然報告後來被證明是假的),該公司的股價暴跌了三個月。
你無法阻止聊天機器人傳播有關公司的虛假資訊,但是及時識別威脅和制定事件回應計畫可以減輕損害。
為了保護您的組織,ISF建議您執行以下操作:
將虛假資訊傳播納入整體事件管理方案中;
在大型企業公告或資訊發佈前後擴大對社會媒體的監控;
結合行業機構的力量,請求政府和監管機構調查並起訴傳播虛假資訊的人;
考慮增加現有的社會媒體支出,主動打擊虛假資訊的傳播,如鼓勵員工傳播合法的新聞並舉報可疑的帖子等;
5. 偽造的資訊損害變現日顯
組織越來越依賴資料推動決策的制定,這就意味著,犯罪分子和競爭對手可以將虛假資訊納入其威脅工具庫中。ISF認為,在未來兩年內,三種對資訊完整性的攻擊將變得司空見慣:
扭曲分析系統使用的大資料集;
操縱財務記錄和報告,或銀行帳戶的詳細資訊;
資料洩漏前對資訊進行修改;
例如,對於一個公用事業單位而言,可以通過分析智慧電錶的資料來平衡其生成的電量與當前需求相匹配。如果攻擊者操縱智慧電錶資料,使其顯示出虛假的高需求量,就會導致發電量激增,而一旦供應大過需求太多就會導致供電電網出現故障。
虛假或篡改的資料還可能會對藥物研究產生重大影響,現在,藥物研究越來越多地轉向大資料分析,以提升新藥的建模和試用速度。而這些資料一旦被攻擊者操縱將帶來不可估計的後果。
為了預防這種威脅,ISF建議您採取以下措施:
採取措施驗證和維護關鍵資料庫的完整性;
將洩漏資訊完整性的情景納入公司業務風險評估中,讓整個組織中的利益相關者衡量其業務影響;
與同行合作,分享有關資訊完整性的威脅情報;
在公開提供任何事實證據對抗虛假資訊之前,諮詢法律專業人士意見;
使用聯合身份和訪問管理(FIAM)系統和內容管理系統(CMS)等工具對訪問和更改敏感資訊的行為進行監控;
6. 區塊鏈技術(blockchain)面臨信任危機
關於什麼是區塊鏈技術,用通俗的話闡述就是,如果我們把資料庫假設成一本帳本,讀寫資料庫就可以看做一種記帳的行為,區塊鏈技術的原理就是在一段時間內找出記帳最快最好的人,由這個人來記帳,然後將帳本的這一頁資訊發給整個系統裡的其他所有人。這也就相當於改變資料庫所有的記錄,發給全網的其他每個節點,所以區塊鏈技術也稱為分散式帳本(distributed ledger)。
目前世界各地均在對其進行研究,並開始將其廣泛應用于金融等各領域。Don Tapscott表示,到2019年,全球65%的頂級銀行將實現大規模的區塊鏈實踐。
但是,Durbin指出,像其他任何技術一樣,區塊鏈也存在被攻擊的危險。潛在的漏洞包括脆弱的加密和金鑰管理、落後的編寫程式、錯誤的許可權許可以及業務規則不完善等問題。而且一旦區塊鏈遭到破壞,受影響進程中的客戶、高級管理層以及信任用戶都將遭到損害,且需要大量的努力進行重建。
受損的區塊鏈可能會導致未經授權的交易或資料洩漏、資產轉移、欺詐甚至驗證欺詐性交易等。
為了避免這種威脅,ISF建議您執行以下操作:
組織一個贊助商或指導委員會,廣泛徵求意見並決定是否採用區塊鏈技術;
培訓員工如何安全使用區塊鏈技術,並檢測可疑活動;
使用區塊鏈來評估外部協力廠商的安全控制,例如,審核其安全控制強度(包括加密金鑰的管理和存取控制措施等);
與行業機構和專家交流,制定良好的安全事件準則;
諮詢法律專業人士瞭解使用區塊鏈技術的合同含義;
在基於區塊鏈的應用程式的設計、實現和操作過程中納入資訊安全的要求;
考慮分散式區塊鏈系統對現有管理流程的影響;
主題三安全控制被法規和技術侵蝕持續惡化
ISF認為,在過去兩年內,智慧技術的快速發展以及國家對個人隱私和安全意識的提高將導致企業控制自身資訊的能力不斷削減。
Durbin表示,旨在提高國家安全監管的新法律將要求通信供應商收集可能揭露企業秘密的資料。而這些存儲重要資料的企業可能會淪為攻擊者最有利的目標。
與此同時,Durbin還表示,像歐盟制定的《一般資料保護法案(GDPR)》將使受到監管的機構更難監控內部人的行為。GDPR要求組織公開其用來監控使用者行為的工具,如此一來,惡意內部人員就可以掌握足夠的資訊來繞過此類監控。
儘管這些因素都不是你能直接控制的,但是業務和安全領導者可以通過進行風險評估,與通信供應商進行公開談判來預防這些威脅,並諮詢法律顧問充分瞭解新法規的影響,組建一批順應先進技術要求的勞動力。
7. 監管法暴露企業機密
一些政府已經開始制定監管法,要求通信供應商收集並存儲與電子和資訊通信相關的資料,ISF預計未來兩年這種趨勢將會持續。
這類立法的目的可能是為了識別和監控恐怖分子和其他相關團體的活動,但是這些資料收集不可避免地會涉及一些機密資訊,包括各組織機構的敏感性資料等。
ISF注意到,攻擊者也已經注意到這些資料的價值,並瞭解從哪裡以及如何能夠獲取到這些資料。這些資料可能涉及並購計畫、正在開發的智慧財產權以及新產品的細節等資訊。
為保護您的組織,ISF建議您採取以下措施:
開展組織協作進行風險評估,以瞭解通信供應商丟失中繼資料會造成的影響;
與通信供應商溝通,確定責任承擔事宜並確定中繼資料安全存儲的最低要求;
與通信供應商溝通,確定通過何種方式以及何時通知你相關的入侵行為,共
同合作以降低影響;
8. 隱私條例阻礙對內部威脅的監控
根據McAfee在2015年發佈的一項研究顯示,該年度有43%的資料洩露是由內部人員造成的,包括用戶、經理、IT專業人員和承包商。由此以來也促使用戶行為分析(UBA)工具變得越來越受歡迎:Market And Markets Research 2016年發佈的一份報告預測稱,UBA工具的銷售額將從2016年的1.137億美元增長到2021年的9.083億美元,增長近600%。
但ISF表示,新的隱私條例——如歐盟GDPR、韓國個人資訊保護法(PIPA)、香港個人隱私條例以及新加坡個人資料保護法等的出臺,限制了這些工具的使用。法規明確要求雇主必須公開監控用戶行為所使用的工具。Durbin指出,透明度和創造信任文化雖好,但這些規定將幫助惡意內部人員擺脫UBA工具監控。
為了解決內部威脅和新法規的衝突,ISF建議您採取以下措施:
使員工瞭解內部人員風險,並對其進行培訓以識別可疑行為;
對內部人員進行更為正式和嚴格的存取權限審核,以確保訪問安全性;
9. 盲目地部署AI導致意想不到的後果
AI系統是自動化方面的重大創新,獨立的學習能力將使它們能夠從製造到行銷和諮詢等各領域自動化吸收日益複雜且不重複的任務。但是,Durbin指出,AI現在還正處於探索發展的階段,可能會存在很多錯誤:例如,從錯誤或不完整的資訊中學習可能會得出不準確的結論。
而一旦這些結論運用到可能影響組織名譽和業務的環境中,就會造成無法預計的後果,例如:智慧助手一旦讀取了錯誤的對話或誤解指令,就會導致訂單處理失誤等後果。
為了保護您的組織免受此威脅,ISF建議您採取以下幾個步驟:
進行組織協作以確定部署AI將對哪些領域產生效益;
招募、培養並留住掌握AI系統技能的人才;
與行業同仁和學術機構合作,開發部署AI系統的最佳實踐;
更新管理結構來有效地管理AI系統,例如,將安全性納入到設計流程中,對AI系統做出的決策進行監督,確保發生嚴重事故時可以手動關閉系統。
資訊安全威脅環境日益複雜多變,前瞻性的安全預測將有助於企業機構提前做好防範措施,希望本文能夠給你一些啟示,而兩年後的資訊安全環境究竟會如何?安在將與你共同見證……
安在
新銳丨大咖丨視頻丨白帽丨在看
長按識別二維碼 關注更多精彩