在未来几年内,当前数字世界的基础将发生剧烈震荡。随着组织开展业务的方式发生巨大变化,不断涌现的新威胁将来自生物识别、法律法规以及内部人员等方面。那些独具创新且意志坚定的攻击者可能将抱团围攻更为强大的组织机构。
前不久发布的《威胁地平线2020》年度报告,指出未来2-3年内各个地区各行各业的企业将会面临的威胁类型,为企业提供了前瞻性的观点和建议,以充分了解当前网络世界中日益增长的威胁场景。
下面就让我们来了解一下其中部分预测结果,及其将会对企业或组织产生的影响:
1.生物识别技术提供虚假的安全感
鉴于消费者对便捷性的需求日盛,加之营销商所渲染的强大安全性,未来几年,生物识别身份验证技术将充斥企业组织的每个角落。但是,这些组织很快就会意识到,自己并没有像营销商所宣传的那样,得到充分适当的保护。事实证明,生物识别技术所营造的强大安全感是没有根据的,极具创新意识的攻击者将学习如何利用越来越复杂的方法,来攻克生物识别安全措施。
对于便捷性和易用性的需求,将促使企业组织转向使用生物识别身份验证技术,以取代当前的多因素身份验证方法,来作为所有形式的计算和通信设备的默认验证方式。然而,殊不知,任何对一种或多种生物识别技术功效的错误信任,都可能会招致敏感信息泄露的后果。更糟糕的是,对生物识别技术的攻击还将影响企业财务状况,并造成无法挽回的声誉损失。
现存的安全策略远远无法解决这一问题,因为组织可能从董事以下的使用的都是依赖生物识别技术的新设备。如果不对这一变化做出合理的规划和应对措施,一些组织势必会在毫无意识的情况下,使用单一且易受攻击的生物识别因素来保护其关键或敏感的企业数据。如此一来,势必会造成无可估量的后果。
2.新法规增加了“风险与合规”负担
到2020年,在现有法律法规的基础上,势必会涌现出更多、更复杂的新国际和地方法规,如此一来,合规资源和机制将扩展到突破点,大大增加“风险与合规”负担。此外,这些新的合规性要求也将导致一个不断膨胀的“攻击面”。面对攻击者持续的探测、扫描和攻击尝试,如何全面的保护这些“攻击面”将成为一个巨大的考验。
对于一些组织而言,新的合规性要求将增加必须存储和保护的敏感信息(包括客户详细信息以及业务计划等)的数量;而对另外一些组织来说,对透明度的监管要求将导致这些信息被存储在多个位置,加之有第三方介入,势必会增加数据泄露发生的可能性。
为了在应对大量监管义务的同时平衡潜在冲突的需求,一些公司可能会将基本员工从关键风险缓解活动中转移出来,或将合规失败的影响提升到新的水平。此外,新的数据隐私规定会对不合规行为处以重罚,将大大增加数据泄露在财务及声誉方面的影响。
3.受信任的专业人士泄露组织弱点
对利益的不懈追求,以及劳动力的高流失率将营造一种不确定和不安全的氛围,这种氛围降低了员工对其组织的忠诚度。而这种忠诚度缺失的现象又会被攻击者滥用:攻击者可以利用金钱诱惑员工泄露公司机密,其中包括组织的弱点,如安全漏洞等信息。对于这种诱惑,即便是深受组织信任的专业人士也会中招。
如今,大多数组织都已经意识到,企业关键任务信息资产的密码或密钥需要谨慎分发,并且仅限于那些有工作需求且受信任的员工。但是,难保这些通过初步审查和背景调查的员工,未来不会因为其他诱惑(升职、金钱或其他能够改变个人现状的条件)或威胁(胁迫、勒索等)而泄露这些信息。
虽然“内部人员威胁”的话题已是老生常谈,且近年来组织的安全意识也有所提升,但是组织资产仍然面临很大的威胁。如今,越来越多的漏洞悬赏项目和道德披露项目的确立,加之网络犯罪分子和黑客日渐膨胀的需求,都意味着最机密的秘密(如关键的渗透测试结果和漏洞报告)是非常有价值的。如果说组织还只是依赖现有的机制,来确保有权访问敏感信息的员工和签约方值得信任,这是远远不够的。
准备工作刻不容缓
面对日益严峻的全球威胁,组织必须做出有条不紊且覆盖广泛的准备措施,以确保制定出可行的计划,来适应不久的将来将面对的种种变化。这一过程需要全组织人员,甚至从董事会成员到非技术职位的经理再到组织各级员工的参与。
随着互联网和连接设备的应用范围不断扩大,上述列出的威胁主题势必会影响以极快的速度在网络空间中运营发展的企业。面对变革步伐的不断加剧,许多组织可能会感到力不从心。对此,我们建议每个组织必须留意这些威胁,无论这些威胁如今是大是小,亦或现在看起来很遥远,但是要牢记的是,它们可能会在你还没准备好的时候突然降临。
为了更好地应对上述挑战,组织可以执行风险评估,以确定哪些角色和数据关键性等级的组合可被何种身份验证方法使用;与董事会成员和其他主要利益相关者沟通,以平衡合规需求与业务风险的复杂性;识别能够访问关键或敏感信息的个人及外部实体,验证并经常重新评估这种访问权限是否存在必要等等。
《威胁地平线2020》年度报告原文: