信息安全威胁形势也在不断发展。为了帮助您浏览的地形,每年的信息安全论坛(ISF) - 一个非营利性协会,研究并代表其成员的安全分析和风险管理问题 - 推出其威胁的地平线报告为会员提供超过两年的时间内最大的安全威胁的前瞻性观点。接下来是在地平线上的九个最大的威胁,到2019年,您的组织可能需要管理和减轻。
主题1:从脆弱的连接性的过度依赖破坏
当今的组织依赖于即时且不间断的连接、智能物理设备和值得信赖的人员。但这种依赖使它们容易受到核心internet基础设施、日常业务使用的设备和能够访问关键任务信息的关键人员的攻击。
ISF常务董事史蒂夫•德宾表示:“我们依赖互联网的时间太长了。”“我们已经到了把它当作其他公用事业的地步。如果突然切断电力供应,这是一个大问题。企业已经为其他公用事业——例如发电机——做好了备份。还没有人真正为互联网做到这一点。他们只是认为它会出现在那里。”
为了保护自己,德宾说,企业需要重新思考他们的防守模式,特别是在业务连续性和灾难恢复计划。依靠在家工作的员工将无法生存是删除连接或目标的关键人物的恐怖袭击计划。ISF建议修订计划涵盖以及对人身安全的威胁所造成的基础设施,设备或人的攻击运营中断的时期。
有预谋的网络中断带来的贸易陷入瘫痪
作为横跨在数量和严重程度在全球增加的冲突,ISF预测,未来两年内,民族国家和其他团体将寻求造成广泛的破坏,包括在地方,甚至地区一级网络中断的新途径。商业和政府机构很可能被认为是合法的目标,行业站,如果通信系统失效和贸易嘎然而止失去了数百万美元。
鉴于“刚刚在时间的供应链模式的日益盛行,甚至短暂中断可能会导致短缺,德宾说。金融服务机构还容易,而且针对他们的中断可能会导致连锁故障。举例来说,如果结算公司(机构结算支付)失去连接,组织在所有行业可能会失去发起或接受付款的持续时间的能力。即使是像政府执法部门依赖于连接进行通信。
这一领域的攻击可能包括切断电缆(可能是在海底,修复可能需要相当长的时间),使根DNS或数据中心变得无用,利用大规模僵尸网络进行分布式拒绝服务(DDos)攻击,甚至操纵互联网地址和路由以确保流量不到达指定目的地。
ISF表示含有造成这种攻击,需要通过国家的关键国家基础设施项目由中央政府协调的混乱。每个组织也必须了解自己在互联网上的依赖程度,并有适当的计划,以应对网络攻击的风险,一个相对频繁的基础上发生。
ISF建议你做以下事情:
- 与内部和外部的利益相关者沟通,以达成沟通的替代方法
- 与区域机构(如政府、竞争对手、行业论坛)发展关系,以创建新的、标准化的应急计划,以应对互联网通信失败的情况
- 评估通信提供商的应急预案;坚持认为他们与标准化或组织计划一致,而合作,以确保差距得到解决
- 替代供应链模式的关键系统和服务计划
勒索软件劫持了物联网
犯罪分子越来越多地从勒索软件中获利——加密受害者的数据,然后要求支付加密密钥。根据赛门铁克去年发布的一份报告,为犯罪分子所要求的数据的平均赎金从$ 294 2015年在2016年跃升至$ 679和调查的美国联邦调查局(FBI)去年估计,网络犯罪分子会通过2016年底产生约十亿$从勒索收入。
[相关阅读:2017年安全预测]
该ISF认为,在未来的两年里,网络犯罪分子将越来越注重自己在连接到物联网(IOT)的互联网智能设备勒索努力。攻击者可能持有特定设备的赎金,但ISF相信他们也将使用这些设备作为网关在整个组织的其他设备和系统安装勒索。
这种攻击有可能破坏业务操作和自动化生产线。但如果它们影响到医疗植入物或汽车部件,也可能是致命的。
德宾说:“医疗设备、制造业,我们已经把所有这些‘东西’都摆在那里了。”“无人驾驶汽车、交通、铁路、金融服务。我们已经在所有这些领域嵌入了智能设备,但我们从未真正考虑过下一步。所有这些都在现实世界中存在。这有点像马跑了再关马厩的门。”
德宾说,联网设备的制造商需要与他们的客户合作,解决安全漏洞,至少要确保基本的安全特性始终可用。所有的组织都需要确定他们目前如何使用连接的设备,他们计划在未来如何增加使用,以及如果一台或多台设备受到勒索软件的影响会有什么影响。
该ISF建议您采取以下措施:
- 适用于制造商的压力(例如,通过行业机构)来构建全面的安全功能集成到设备。
- 与行业机构从事游说(和影响力)的规定确保物联网设备的最低安全标准。
- 提高整个组织的勒索威胁的轮廓和强制采购的物联网设备的最低安全要求。
- 物联网一体化相关勒索场景到您的业务连续性计划和运行规律的模拟。
- 与制造商和客户的协作,收集威胁情报关于您使用物联网设备。
享有特权的内部人士被迫交出了王冠上的宝石
您的企业可能是高科技和数字,但是你的员工在物理世界中存在,这使得他们很容易受到勒索,恐吓和暴力。The ISF says that over the next two years, well-funded criminal groups will combine their global reach and digital expertise with the very real threat of violence to threaten privileged insiders to give up mission-critical information assets (e.g., financial details, intellectual property and strategic plans).
这些特权人士分析可能是高级业务经理和身居高位的高管,但他们也可能是他们的个人助理,系统管理员,基础设施架构师,网络支持工程师,甚至特定的外部承包商。极端情况下可能涉及内幕家庭的“老虎绑架”。
ISF认为,犯罪团伙有可能把这些方法这三个方面的原因:
- 他们可以大大降低他们所需要的网络专业知识的水平,并用“肌肉”来取代这种专业知识。
- 他们可以继续接触到受影响的个人,并说服他们再次采取行动。
- 而在操作,他们可以窃取关键信息“敬而远之”。
为了保护自己免受这些威胁,ISF建议您采取以下措施:
- 找出你的关键信息资产,谁拥有并访问他们的个人。
- 在特别措施投资保护个人特权访问(例如,指令在物理安全防范措施;置身于社会工程学的方法)。
- 实施保护组织免受内部威胁的机制(例如,筛选未来的员工;在雇佣合约中加入适当的条款)。
- 采用信托,但是,验证方法特权业内人士(例如,加强信任的文化,同时核查和监测适当的系统访问)。
主题2:对信息完整性的信任会被扭曲
为了做出正确的决策,你的业务依赖于准确可靠的信息。如果信息的完整性受到损害,那么您的业务也会受到损害。最近,随着“假新闻”开始在主要政治人物周围盘旋,这个问题变得突出起来。ISF认为,在未来两年内,攻击者将散布谎言或扭曲内部信息,以希望获得竞争或财务优势,而牺牲目标的声誉或行动效率。
“随着数据增加到他们是水平的量,我们已经到了一个地步,这是绝对不可能有人真的,绝对保证数据的完整性,”德宾说。“我们如何与企业合作,以确保我们做他们正在使用做出决定尽可能准确的信息?我们要看到的是,首席信息安全官,特别是在企业内部如何看待这种变化。我们已经这么久以为这是一个IT安全的事情,但首席信息安全官一直在谈论他们的作用,以及如何演变更以反映业务;它更像是在信息空间中的风险管理“。
德宾说,组织可以通过积极主动的方式减少错误信息的影响:监控其他人在网上对组织的评论,跟踪内部信息的变化,以提供早期预警信号。
自动误传获得即时的信誉
在人工智能的进步(AI)角色允许创建聊天机器人的,将很快从人类没有什么区别。攻击者能够使用这些聊天机器人来传播误传针对商业组织:没有违反过组织的数字边界,攻击者可能会损坏通过散布说服有关其工作方法或产品误传该组织的声誉。一个单一的攻击者可以部署数百个聊天机器人,每个传播恶意信息和谣言在社会媒体和新闻网站。
攻击将不只是目标的声誉。假新闻也可以用来操纵公司股价。德国支付公司Wirecard AG发现了艰辛的道路在去年二月,当假报告“详细介绍”欺诈活动的公司。虽然该报告后来被证明虚假,该公司股价暴跌,花了三个月才能恢复。
您将无法从传播误传你的公司,但承认威胁和事件响应计划可以减轻损害停止聊天机器人。
为了保护您的组织,ISF建议您做到以下几点:
- 构建覆盖场景误传蔓延到你的整体事件管理流程。
- 在重大组织公告或活动前后,扩大对社交媒体的监控。
- 结合同行业机构的力量,以游说政府和监管机构调查查明和起诉那些散布假新闻和错误的方法。
- 考虑增加现有的社交媒体输出,积极应对错误信息的传播(例如,鼓励员工传播合法新闻,举报可疑帖子)。
虚假信息损害性能
组织是对数据的依赖越来越来驱动他们的决策,这意味着罪犯和竞争对手信息失真添加到他们的威胁工具箱。该ISF认为三种类型的信息的完整性攻击,将成为常态在未来两年内:
- 扭曲分析系统使用的大数据集。
- 操纵财务记录和报告,或银行账户的详细信息。
- 泄漏之前修改信息。
例如,考虑一家公用事业公司,该公司通过分析智能电表的数据来平衡其发电量和当前需求。攻击者可以操纵智能电表数据,以错误地显示高需求。这种操纵可能导致发电量激增。如果激增的幅度足够大,可能会导致电网瘫痪。
虚假或扭曲的数据也会显著影响药物研究,药物研究正越来越多地转向大数据分析,以提高建模和试验新药的速度。
德宾说,企业需要现在就开始准备,以确保信息的风险评估解决的可能性和对完整性的攻击影响。
要准备的ISF建议你采取以下行动: