到2018年9个最大的信息安全威胁

信息安全威胁形势也在不断发展。为了帮助您浏览的地形，每年的信息安全论坛（ISF） - 一个非营利性协会，研究并代表其成员的安全分析和风险管理问题 - 推出其威胁地平线报告为会员提供超过两年的时间内最大的安全威胁的前瞻性观点。接下来是在地平线上的九个最大的威胁，到2018年，您的组织可能需要管理和减轻。

技术已经是日常生活的现代社会中不可或缺的一部分。该ISF预测，只会增加在未来两年的过程中 - 无论是在商业和个人的水平。“我们现在所做的一切是那么的本质依赖于技术，”史蒂夫·德宾，在ISF的董事总经理。“企业肯定都开始明白，他们需要在他们如何能最大限度地发挥这一特定的倾向的有效性，寻找，而不是阻碍了大海。”但作为组织工作，通过改善连接最大限度地发挥其效率和效力，德宾说，他们也将开放自己在一个规模更大，更复杂的威胁环境相关联的威胁。

随着实时数据收集的价值越来越清晰，物联网(IoT)正在快速发展。无论是优化昂贵的工业设备的正常运行时间、监控交通、收集实时健康信息，还是其他用途，组织和个人都在采用物联网设备。但用于收集数据的设备不一定是安全的，这可能会为组织创造一个后门。由于允许组织以客户不希望的方式使用个人数据的模糊条款和条件，物联网生态系统越来越缺乏透明度，导致组织在隐私问题上举步维艰。德宾说:“这对我们需要集思广益的组织来说是一个特别的挑战。”“没有人走进商店说，‘给我最安全的设备。’他们想要最好看的或者功能最多的。”ISF建议您做以下工作:

• 实施将物联网设备加入网络的安全程序，或因数据保护不力而面临监管罚款和声誉受损的风险。
• 物联网提前部署的寻求数据收集同意，并考虑收集不仅什么样的信息，也正在允许共享和谁在一起。
• 确保使用客户数据的条件是透明的，符合监管要求。
• 看物联网的安全性整体上考虑，而不是处理的隔离装置。

组织正在越来越多地使用算法来操作，并且在关键系统作出决定 - 从自助停车车自动交易。如果没有这些决定的核心是人，组织有较少了解其系统如何运作和互动。德宾说，这种缺乏透明度造成有可能显著的安全隐患被意外的互动，创建事件是导致显著中断算法之间显露出来。一个例子是美国的国债在2014年10月“闪电崩盘”，算法简单驱车债券收益率时，大幅下降自纠之前。“我们知道他们会从时间到时间做一些古怪的东西，”德宾说。“你需要了解一些对算法的系统中，你有曝光的我们正在建设我们越来越多的系统对算法的顶部。 - 工业控制，关键基础设施有一个在这个领域，我们必须解决的危险增加。“ISF建议你做以下事情:

• 确定曝光算法控制的系统，并知道何时人工介入负债，并且它是一个故障安全。
• 更新代码维护策略。
• 确定治疗由算法相关的事故风险的替代方法，尤其是如果保险是不是一种选择。
• 开展强大的业务连续性和弹性的规划。

流氓政府已经向恐怖组织提供资金、武器和后勤支持，这样他们就可以推诿地开展秘密行动。ISF认为，在未来两年内，这种支持将扩大到包括用于攻击其他国家的基础设施或组织的网络攻击能力(知识、培训、软件和硬件)。这将导致网络攻击，其持久性和破坏性将超过许多组织以前所经历的。德宾指出，涉及伊斯兰国(IS)等恐怖组织的网络事件已经发生。德宾警告称，虽然参与关键基础设施建设的大型企业可能是早期目标，但那些大型企业供应链上的小型企业也可能被视为进入这些企业的途径。他表示:“我们预计，这种情况不仅会继续，还可能会增加。”“这是一种不同程度的威胁。这与经济利益或控制权无关。这就更危险了。这些攻击可能比我们在网络罪犯身上看到的攻击更具攻击性或持续性。” The ISF recommends you do the following:

• 调整风险管理流程，使之考虑到威胁行为者(如恐怖组织)，使其具备新的能力，并通过定期情景规划来加强这一能力。
• 回顾上提高抗御现有的控制和重点。
• 探索与面临类似威胁，政府和组织威胁情报合作的可能性。

德宾说，现有的信息风险管理方法将受到各种(通常是无恶意的)行动者的侵蚀或损害。德宾说:“网络攻击已经足够让人们忙个不停了。”“但其他事情正在损害我们的风险管理能力。”

在过去几年中，ISF警告说，董事会和首席执行官不欣赏安全的价值，并将其命名为顶的威胁。但是，这改变了。董事会已批准增加了信息安全的预算，他们希望看到立竿见影的效果。安全已经转移到议程的首要位置，但德宾说主板不明白，实质性改进的信息安全需要时间 - 即使该公司已经拥有了正确的技能和能力到位。德宾警告板的预期将迅速加速超越他们的信息安全功能，提供的能力。“董事会在很多他们认为其他任何商业问题以同样的方式查看此，”德宾说，并指出，董事会往往有一个季度审核周期，预计跨度显著进展。“安全被拉入类似的周期，但很多事情都非常长的尾巴比。”该ISF建议您做到以下几点：

• 定期与董事会接触，根据董事会的风险偏好提供可靠的风险评估。
• 对齐的基础上，CISO和信息安全功能的当前和未来的能力，安全性改进董事会的预期。
• 启动人才计划改造从技术专家的CISO和信息安全功能为值得信赖的商业伙伴。
• 从那些谁已经转变为值得信赖的商业伙伴学习。

随着软件在所有主要行业领域取代了硬件，德宾说，定期的安全研究人员发现安全漏洞，使他们在提高安全性的努力公众。但是，制造商已经开始应对法律诉讼而不是研究人员努力修复漏洞这一趋势。该ISF认为这一趋势将变得更加普遍，在未来两年内，让客户与漏洞厂商都隐藏而不是固定百出的软件。

“我们已经看到在已经沉默与他们德宾说撵诉讼，这样的幸福研究人员数量的增加。他指出，在澳洲一个大的零售商，通过提供赏金，以白帽子黑客可以之前破解他们的系统响应他们启动它们。“你必须很勇敢地做一点，你肯定需要一个签退从组织的最高层，”他补充道。该ISF建议在采购过程中，科技买家坚持更大的透明度，其中包括访问制造商的漏洞发现政策和外部脆弱性测试的结果。对于厂商来说，ISF建议您考虑提供财政奖励研究员谁负责任地披露安全漏洞。如果有必要，使用调解服务，以同意令人满意的披露做法。

该ISF认为，在未来两年内几个大数据泄露将导致那些提供网络保险和错误定价风险的保险公司显著的经济损失。他们预计，许多保险公司从市场大幅撤出，结果，设置投保人更严格的要求，缩小现有产品的范围，增加保费和限制承保部门以较少的感知风险。已变得依赖于网络风险的保险机构可能会感到刺痛。“我认为越来越多的保险公司都理解，这是一个复杂的领域，”德宾说。“标准的精算方法来写保单或许并不适用。”该ISF建议您做到以下几点：

• 事先危机重新评估风险管理战略，特别是正在通过网络转移保险风险的程度。
• 检查网络保险政策的潜在昂贵的除外责任。

ISF认为，未来两年，世界各国政府将更加关注对公民使用的新技术和现有技术产品和服务的审查。报告预计，政府将开始采取一种更具侵入性的方式，与处理个人信息的组织打交道，尤其是大型科技公司。“各国政府已经意识到，他们需要介入一些事情。我们看到了一些相当古怪的行为，”德宾说，他指的是欧盟去年决定不再承认安全港。他补充道:“我们还看到世界上其他一些国家的政府利用潜在的恐怖主义威胁等来引入一些他们原本无法通过的立法。”

该ISF认为，企业与被打乱他们的攻击性板块商业策略 - 像尤伯杯理念，Airbnb和谷歌公司 - 将会提示政治家和监管者采取的新技术对国内的影响一探究竟。他们将与反竞争行为的检查开始，但预计ISF调控蔓延至包括跨更广泛的技术部门的产品和服务提供商。该ISF认为，政府的这些技术的认识将会比自己的社会和政治影响的理解更快，导致反应性的，并且也不鼓励本国公民的经济增长，也没有增加数据保护考虑不周的政府政策。作为一个例子，你可以期望从全球到国家的云层限制组织对世界各地的自由移动数据能力的举措。ISF建议你做以下事情:

• 通过了解其内的产品和提供服务的当地环境，避免政治上的反对。这对于规模快速和有他们的总部都设在国外的最小物理存在组织一个特别的挑战。
• 制定政治影响力和参与一个明确的战略，重点监管的原则为基础的系统（而不是符合性检测清单）上。
• 探索集体影响力的可能性，如参加或发起的贸易协会。

监管和立法的变化将对上如何个人数据收集，存储，交换，在未来两年内设置新的限制，根据ISF。依赖于云服务组织可以期待遭受特别严重影响。他们将卡住试图保持符合新的数据保护和数据本地化要求，同时努力开展业务照常进行。德宾音符数据的位置，成为美国 - 欧盟安全港协议在2015年10月的倾覆，并新推出的欧盟通用的数据保护条例会的情况有各种各样的合规性要求背靠显著罚款复杂化后，一个特别紧迫的问题对不遵守。“监管机构希望看到公司负责，”德宾说。“我确实希望监管部门采取了一种观点，即如果你做的一切，是合理的可能仍然存在违规？好吧。但是，我们使用云它必然会影响的方式。”该ISF建议您做到以下几点：

• 了解当前和拟议的法规和立法如何根据日益增长的政治和公众对加强数据保护的需求而演变。
• 不要等待。要积极主动与地方监管情绪转变为区域的变化做好准备。

网络犯罪分子现在已经与政府和其他组织水平的技术能力和范围。在接下来的两年中，ISF相信他们会延长这些功能远远超出了他们的受害者。这将削弱电流控制机制来保护组织的能力。组织将转向执法机构和各国政府的援助，但罪犯 - 谁通常攻击组织在本国之外 - 将通过利用缺乏广泛变化的能力，执法机构之间的跨境合作，继续逃避起诉。该ISF相信组织会从比较多，而且受到伤害受害，将有较少求助于政府援助。“犯罪分子不傻，”德宾说。“他们明白，没有一致性的多国家的警务方式进行。你不一定有构成犯罪的提交，提交人是之间的直线，从执法的角度来看，这提出了一个非常大的挑战。”该ISF建议您做到以下几点：

• 在短期内，及时了解网络犯罪的演变和制定适当的控制和强大的，有弹性的系统。
• 在中期，建立威胁情报能力，使风险评估，定期进行，并为充分知情越好。
• 从长远来看，积极影响政府合作，建立一个能有效打击网络犯罪的国际法律框架。