根据安全机构预测,我们将看到威胁情况日益复杂,针对公司的薄弱场景的攻击更加个性和多元化,或者是目前已经实施的防御措施已无力承担此类的攻击,随着时间的推移,这类攻击危害比以往任何时候都要来得激烈。
随着各国立法进程的影响,数据泄露在数据量上会有所下降。比如欧盟的通用数据保护条例的实施,此类的攻击成本将显著的提升。但并不会带来威胁上的完全消除。根据安全机构的预测,大型企业未来数据泄露将面临五大安全威胁。
-
网络犯罪即服务将扩展现有的工具和服务。
-
物联网(IoT)将进一步增加未经授权的风险。
-
合作方与供应链仍然存在风险管理最为薄弱的场景。
-
法规将增加关键资产管理的复杂性。
-
未能达到的管理层预期将会导致重大安全事件。
一、网络犯罪即服务
根据安全机构的预测,网络犯罪即服务将会迎来飞跃式的发展,更多的网络犯罪团队将进一步发展伪装成复杂的公司或合作关系或构建成为供应关系等。这在其中攻击者与受害者关系将变得模糊,以今年最流行的恶意软件来举例。网络犯罪通过锁定你的计算机加密你的硬盘。受害者受迫使用比特币来赎回关键数据,而犯罪分子会解锁计算机。从来建立一种'信任'的关系。这种网络犯罪演化成在全球范围的一种'类似'商业活动或者服务。
二、物联网
公司越来越多的采用物联网设备,但是大多数物联网设备在架构上并不安全。快速发展的物联网生态系统缺乏透明度,模糊的条款和协议允许公司以客户不想要的方式使用个人数据。在数据保护方面存在的问题,公司和个人并不会知道哪些信息正在被智能手机或智能电视等设备偷偷的窃取和传输。
如果发生数据泄露事件或者明显的违规行为,公司可能被监管部门和客户追究责任。而在最坏的情况下,工控系统中嵌入的物联网设备可能导致人身伤害和死亡。
三、合作方与供应链
安全机构一直预警合作方与供应链安全的问题。所有的公司通常会与合作方或供应商分享一系列有价值的敏感信息数据。当这些数据被共享时,将会在后续环节中失去安全上的控制。这意味着分享出去的数据,在机密性,完整性或者可用性的风险显著增加。
企业将需要持续关注和保护合作方或供应链中最为薄弱的场景。虽然不是每个数据泄露都能阻止,但是你和你的供应商必须积极主动,在现有的采购和供应商管理流程中嵌入供应链信息安全风险管理。
四、法规
各国的法规增加了关键资产管理上的复杂性。欧盟通用数据保护条例(GDPR)将在2018年初上线,这为企业关键资产管理增加了复杂性。这不仅仅是关于数据的合规上,而是要确保在任何时候都能够在企业内和供应链上有能力保护个人数据。在了解如何管理和保护个人数据的同时,将可能面对改变公司赢利的方式和增加数据管理成本。
五、未达到管理层的期望
安全机构预测:信息安全部安全技术能力与管理层的期望在现实之间不一致时,将会构成较大的威胁。
公司管理层往往能理解互联网的重要性,但并不真正理解安全问题的全部含义。他们会认为一切都在掌控之中,在很多情况下,管理层仍然不知道安全问题的根因,而信息安全部也许还不知道如何与管理层或者业务进行有效的沟通?很多安全措施得不到公司级别的支持与落地。
管理层预测过去几年他们批准增加的信息安全预算,将使公司和信息安全部能够立即取得成果。但是一个完全安全的公司是一个不可实现的目标。即使公司在拥有强大的技术和能力的情况下,对信息安全做出重大改进也需要时间。
信息安全部的角色定位不仅仅是确保防火墙能够正常运行,而是必须预测未来的安全挑战将如何影响到业务和企业的赢利目标,并向管理层表达清楚以获取更大的支持。
【你可能感兴趣】
1510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
