不要沉浸在虛假的安全感之中:生物識別、法律法規、內部人員……
責編:gltian |2018-09-07 10:25:06在未來幾年內,當前數字世界的基礎將發生劇烈震蕩。隨著組織開展業務的方式發生巨大變化,不斷涌現的新威脅將來自生物識別、法律法規以及內部人員等方面。那些獨具創新且意志堅定的攻擊者可能將抱團圍攻更為強大的組織機構。
前不久發布的《威脅地平線2020》年度報告,指出未來2-3年內各個地區各行各業的企業將會面臨的威脅類型,為企業提供了前瞻性的觀點和建議,以充分了解當前網絡世界中日益增長的威脅場景。
下面就讓我們來了解一下其中部分預測結果,及其將會對企業或組織產生的影響:
1.生物識別技術提供虛假的安全感
鑒于消費者對便捷性的需求日盛,加之營銷商所渲染的強大安全性,未來幾年,生物識別身份驗證技術將充斥企業組織的每個角落。但是,這些組織很快就會意識到,自己并沒有像營銷商所宣傳的那樣,得到充分適當的保護。事實證明,生物識別技術所營造的強大安全感是沒有根據的,極具創新意識的攻擊者將學習如何利用越來越復雜的方法,來攻克生物識別安全措施。
對于便捷性和易用性的需求,將促使企業組織轉向使用生物識別身份驗證技術,以取代當前的多因素身份驗證方法,來作為所有形式的計算和通信設備的默認驗證方式。然而,殊不知,任何對一種或多種生物識別技術功效的錯誤信任,都可能會招致敏感信息泄露的后果。更糟糕的是,對生物識別技術的攻擊還將影響企業財務狀況,并造成無法挽回的聲譽損失。
現存的安全策略遠遠無法解決這一問題,因為組織可能從董事以下的使用的都是依賴生物識別技術的新設備。如果不對這一變化做出合理的規劃和應對措施,一些組織勢必會在毫無意識的情況下,使用單一且易受攻擊的生物識別因素來保護其關鍵或敏感的企業數據。如此一來,勢必會造成無可估量的后果。
2.新法規增加了“風險與合規”負擔
到2020年,在現有法律法規的基礎上,勢必會涌現出更多、更復雜的新國際和地方法規,如此一來,合規資源和機制將擴展到突破點,大大增加“風險與合規”負擔。此外,這些新的合規性要求也將導致一個不斷膨脹的“攻擊面”。面對攻擊者持續的探測、掃描和攻擊嘗試,如何全面的保護這些“攻擊面”將成為一個巨大的考驗。
對于一些組織而言,新的合規性要求將增加必須存儲和保護的敏感信息(包括客戶詳細信息以及業務計劃等)的數量;而對另外一些組織來說,對透明度的監管要求將導致這些信息被存儲在多個位置,加之有第三方介入,勢必會增加數據泄露發生的可能性。
為了在應對大量監管義務的同時平衡潛在沖突的需求,一些公司可能會將基本員工從關鍵風險緩解活動中轉移出來,或將合規失敗的影響提升到新的水平。此外,新的數據隱私規定會對不合規行為處以重罰,將大大增加數據泄露在財務及聲譽方面的影響。
3.受信任的專業人士泄露組織弱點
對利益的不懈追求,以及勞動力的高流失率將營造一種不確定和不安全的氛圍,這種氛圍降低了員工對其組織的忠誠度。而這種忠誠度缺失的現象又會被攻擊者濫用:攻擊者可以利用金錢誘惑員工泄露公司機密,其中包括組織的弱點,如安全漏洞等信息。對于這種誘惑,即便是深受組織信任的專業人士也會中招。
如今,大多數組織都已經意識到,企業關鍵任務信息資產的密碼或密鑰需要謹慎分發,并且僅限于那些有工作需求且受信任的員工。但是,難保這些通過初步審查和背景調查的員工,未來不會因為其他誘惑(升職、金錢或其他能夠改變個人現狀的條件)或威脅(脅迫、勒索等)而泄露這些信息。
雖然“內部人員威脅”的話題已是老生常談,且近年來組織的安全意識也有所提升,但是組織資產仍然面臨很大的威脅。如今,越來越多的漏洞懸賞項目和道德披露項目的確立,加之網絡犯罪分子和黑客日漸膨脹的需求,都意味著最機密的秘密(如關鍵的滲透測試結果和漏洞報告)是非常有價值的。如果說組織還只是依賴現有的機制,來確保有權訪問敏感信息的員工和簽約方值得信任,這是遠遠不夠的。
準備工作刻不容緩
面對日益嚴峻的全球威脅,組織必須做出有條不紊且覆蓋廣泛的準備措施,以確保制定出可行的計劃,來適應不久的將來將面對的種種變化。這一過程需要全組織人員,甚至從董事會成員到非技術職位的經理再到組織各級員工的參與。
隨著互聯網和連接設備的應用范圍不斷擴大,上述列出的威脅主題勢必會影響以極快的速度在網絡空間中運營發展的企業。面對變革步伐的不斷加劇,許多組織可能會感到力不從心。對此,我們建議每個組織必須留意這些威脅,無論這些威脅如今是大是小,亦或現在看起來很遙遠,但是要牢記的是,它們可能會在你還沒準備好的時候突然降臨。
為了更好地應對上述挑戰,組織可以執行風險評估,以確定哪些角色和數據關鍵性等級的組合可被何種身份驗證方法使用;與董事會成員和其他主要利益相關者溝通,以平衡合規需求與業務風險的復雜性;識別能夠訪問關鍵或敏感信息的個人及外部實體,驗證并經常重新評估這種訪問權限是否存在必要等等。
《威脅地平線2020》年度報告原文: