2017年将主导四大信息安全威胁

与前几年一样，2016年也不乏数据泄露事件。展望2017年资讯保安论坛(ISF)该机构预测，2017年企业将面临四大全球安全威胁。

ISF的常务董事史蒂夫•德宾(Steve Durbin)表示:“2016年的结果毫无疑问出乎意料。”“我们看到各种各样的缺口似乎越来越大。我们跌跌撞撞地从一个地方走到另一个地方。我们总是在一定程度上预料到它，但我们从来没有预料到全部的程度。我认为没有人会预料到我们最近看到的一些事情，比如俄罗斯人参与了最近的选举。”

ISF表示，2017年企业将面临的四大全球安全威胁如下:

1. 增压连接和IOT将带来非托管风险。
2. 犯罪集团将在“犯罪即服务”方面取得巨大飞跃。
3. 新法规将带来合规风险。
4. 品牌声誉和信赖将是我们的目标。

德宾说:“信息安全威胁的速度和规模继续加速，危及可信赖组织的诚信和声誉。”“2017年，我们将看到威胁景观变得更加复杂，根据目标的弱点量身定制威胁，或考虑到已经就位的防御措施。网络空间是黑客活动分子、恐怖分子和犯罪分子的乐园，他们的动机是发动浩劫、诈骗、窃取信息或搞垮公司和政府。解决方案是对未知的威胁有充分的认识。更好的准备将为各种规模的组织提供灵活性，以承受意外的、高影响的安全事件。”

ISF确定的四大威胁并不是相互排斥的。它们可以结合起来形成更大的威胁。

超负荷的连接和物联网带来了无法管理的风险

千兆连接正在进行中，它将使物联网(IoT)和一类新的应用成为可能，这些应用将利用大数据、GPS定位、天气、个人健康监测设备、工业生产等的结合。德宾说，因为现在连通性是如此的便宜和普遍，我们正在到处嵌入传感器，创造了一个几乎不可能安全的嵌入式设备生态系统。

德宾表示，这将引发隐私和数据访问之外的问题:它将成倍地扩大威胁范围。

德宾说:“对我来说，2017年是我们需要采取的‘睁大眼睛的立场’。”“我们谈论的是那些从未被设计过安全措施的设备，那些收集信息的设备。入侵这些东西相对来说比较简单。我们已经看到一些举措，特别是在美国，鼓励物联网制造商在他们的设备中设计某种程度的安全。但成本是一个问题，它们被设计成相互关联的。”

德宾认为，许多组织没有意识到互联网设备的规模和渗透，在部署物联网解决方案时没有适当考虑风险管理和安全。这并不是说企业应该远离物联网解决方案，但他们确实需要考虑连接设备在哪里使用，他们可以访问哪些数据，然后在这种理解的基础上建立安全性。

“关键的基础设施是关键的担忧领域之一，”德宾说。“我们着眼于智能城市、工业控制系统——它们都使用嵌入式物联网设备。我们必须确保意识到这意味着什么。”

“你永远不可能保护整个环境，但我们不会抛弃嵌入式设备，”他补充道。“他们已经在那里了。让我们设置一些安全措施，让我们能够做出反应，并尽可能地控制。我们需要睁大眼睛，对我们可以管理物联网设备应用的方式保持现实。”

犯罪集团在“犯罪即服务”方面取得了巨大进步

德宾说，多年来，犯罪集团一直像初创公司一样运作。但就像其他成功的初创公司一样，它们也在不断成熟，变得越来越成熟。2017年，犯罪集团将进一步发展复杂的等级制度、伙伴关系和协作，模仿大型私营部门组织。他说，这将促进它们向新市场进军的多样化，以及它们的活动在全球层面的商品化。

德宾说:“我最初把它们描述为创业型企业。“我们看到的是这个领域的整体成熟。他们从车库搬到了有企业基础设施的办公大楼。他们非常擅长做一些我们不擅长的事情:合作，分享，和合作伙伴一起填补他们服务中的空白。”

对许多人来说，这是一种服务。虽然一些组织植根于现有的犯罪结构，但其他组织只专注于网络犯罪，专注于特定领域，从编写恶意软件到托管服务、测试、送钱服务等等。

德宾说:“他们对任何可以货币化的东西都感兴趣。”“无论是知识产权还是个人信息都不重要。如果有市场，他们就会去收集信息。”

他补充说，流氓国家利用了其中一些服务，并指出ISF预计，未来一年由此产生的网络事件将比组织以前经历过的更持久和更具破坏性。

新法规带来了合规风险

ISF认为，2017年数据泄露的数量将会增加，被泄露的记录数量也会增加。德宾说，对于各种规模的组织来说，数据泄露的代价将会大得多。成本将来自传统领域，如网络清理和客户通知，但也来自较新的领域，如诉讼涉及越来越多的合作伙伴。

此外，公众舆论将向世界各国政府施压，要求它们出台更严格的数据保护立法，这反过来又将带来新的、不可预见的成本。欧洲已经在酝酿改革，欧盟一般数据保护条例(GDP)和已经生效的网络信息安全指令。在欧洲开展业务的组织必须立即掌握他们收集欧洲个人的哪些数据，这些数据来自哪里，用途是什么，存储在哪里，如何存储，谁对这些数据负责，谁能访问这些数据。如果组织没有这样做，也不能通过设计来证明安全性，那么将面临潜在的巨额罚款。

德宾表示:“2017年，企业将面临双重挑战。“首先，要及时了解你所处的许多司法管辖区的法规变化。第二个问题是，如果你有GDP这样的清晰数据，你如何确保它符合要求?”

“它的范围是如此之大，”他补充道。“你需要彻底反思收集和保护信息的方式。如果您是一个已经从事业务很长一段时间并持有个人身份信息的组织，您需要证明您知道它在生命周期的每个阶段的位置，并且您正在保护它。即使是与第三方合作伙伴，你也需要采取合理的步骤。与我交谈过的任何一个信息委员会都没有预料到，到2018年5月，每个组织都将合规。但你需要证明你认真对待这件事。这和丢失的信息的性质将决定他们对你的罚款水平。这些都是很大很大的罚款。可用的罚款规模与任何人习惯的都完全不同。”

品牌声誉和信任是我们的目标

2017年，犯罪分子不仅仅是针对个人信息和身份盗窃。敏感的公司信息和关键基础设施有一个牛眼涂上画面。您的员工，以及他们识别安全威胁并正当反应的能力，将决定这种趋势如何影响您的组织。

德宾说:“随着攻击者越来越有组织，攻击越来越复杂，威胁也越来越危险，一个组织的声誉面临的风险比以往任何时候都要大。”此外，消费者、合作伙伴和供应商之间存在的品牌声誉和信任动态已成为网络罪犯和黑客活动分子的目标。风险比以往任何时候都要高，我们谈论的不再只是个人信息和身份盗窃。高层企业机密和关键基础设施经常受到攻击，企业需要了解过去一年出现的更重要趋势，以及我们预测的未来一年的趋势。”

虽然大多数信息安全专业人士会指出人是组织安全中最薄弱的环节，但事实并非如此。德宾说，人可以成为一个组织最强有力的安全控制，但这需要改变你对安全意识和培训的看法。

德宾说，与其仅仅让人们意识到他们的信息安全责任以及他们应该如何应对，还不如植入积极的信息安全行为，让员工养成“停下来思考”的行为和习惯。

德宾表示:“2017年，各组织必须意识到，人不一定是安全链中最薄弱的一环。”“如果我们能更好地理解人们如何使用科技，也就是人类行为的心理学，它们就能成为最强的纽带。”

要成功地做到这一点，需要了解不同角色的员工所面临的各种风险，并调整他们的工作流程，以嵌入适合于他们的角色的安全流程。

这篇题为“2017年的四大信息安全威胁”的文章最初由首席信息官 ．