未来两年内的九大信息安全威胁(一)

  1. 云栖社区>
  2. 博客>
  3. 正文

未来两年内的九大信息安全威胁(一)

boxti 2017-07-05 10:41:00 浏览1081
展开阅读全文

D1net观察:我们日常依赖的互联网可靠吗,哪些攻击可以造成互联网的中断,预防互联网中断可以采取哪些措施?企业如何面对物联网设备遭受到勒索软件的劫持?企业以为自己的数据很安全,但是如果和数据安全相关或者和企业关键信息相关的员工遭受暴力威胁,怎么办?企业往往会根据掌握的信息制定公司战略和做出决策,但是,企业掌握的信息可靠吗?人工智能如火如荼,但是人工智能也可以被攻击者利用,那么如何防止攻击者利用人工智能传播企业的虚假消息?据预测,到2019年,65%的全球顶级银行将大规模地实施区块链技术,但是如果区块链遭到破坏,可能导致未经授权进行交易或数据泄露、资金转移,欺诈甚至验证欺诈交易,那么,如何避免这种情况的发生?……国际上的知名信息安全组织“信息安全论坛”经过研究和分析,发布了关于上述问题的研究报告,让我们来了解一下,做到心中有数。

“信息安全论坛”是一个非盈利性机构,每年都会研究和分析安全及风险管理相关问题,并发布其“威胁视野”报告,以提供未来两年最大安全威胁的前瞻性观点。本文提供了截止2019年的九大安全威胁。

信息安全威胁的格局总是在不断地发展变化。为了帮助您了解这一变化,信息安全论坛(ISF)每年都会代表其成员来研究和分析安全及风险管理问题,发表“威胁视野”报告,并且就未来两年内的最大安全威胁为其成员提供前瞻性观点。以下是当前截止至2019年的9个最大安全威胁,您的企业可能需要加强管理以降低安全风险。

主题1:过度依赖脆弱的互联网连接,而其极易遭受破坏

当今的企业依赖于即时和不间断的互联网连接、智能物理设备和值得信赖的人。但这种依赖性使得他们的核心互联网基础架构、日常业务中所使用的设备以及访问重要信息的关键人员都容易受到攻击。

信息安全论坛(ISF)总经理史蒂夫·杜宾(Steve Durbin)表示:“我们依赖于互联网已经很久了,已经将其视为一种工具。如果你遭遇突然断电,这可是个重大问题。通常企业会配备其他的应急设施(例如发电机),但没有人会为互联网做类似的应急设施准备,他们认为互联网会始终在那正常运转,而不会发生故障。”

杜宾说,为了安全起见,企业需要重新思考其安全防御模式,特别是针对业务连续性和灾难恢复计划。在受到针对破坏互联网连接或者针对关键人物的网络攻击时,依靠员工远程办公的方案将无法实现。信息安全论坛(ISF)建议重新修改方案,使该方案能涵盖发生以下情况,即对物理设备造成安全威胁以及因基础设施、设备或人员受到网络攻击造成停机。

有预谋地破坏互联网连接使业务瘫痪

随着全球冲突的增加,并且冲突的数量和严重程度也越来越高。信息安全论坛(ISF)预测,在未来两年内,一些国家和团体将寻求新的方式进行大面积的破坏,包括在当地甚至某一地区造成互联网中断。商业组织和政府机构可能成为其目标,如果通信系统发生故障,业务慢慢停摆,行业损失将会达数百万美元。

由于“即时”供应链模式日益普及,即使是短暂的互联网中断也可能导致供应短缺,杜宾说道。金融服务机构也是极为脆弱的,针对这些机构的互联网中断可能导致其发生阶梯式破产。例如,如果票据交易所(结算付款机构)发生连接中断,那么在此期间所有行业的组织机构可能会无法付款或收款。即使像政府的执法机构也要依靠互联网进行通信。

在该领域的攻击可能包括切断电缆(可能发生在海底,而修复可能需要很长时间)、使根域名服务器(DNS)或数据中心发生故障、分布式拒绝服务(DDos)攻击,利用大量僵尸网络,甚至操纵互联网地址和路由,以确保流量无法到达其指定的目的地。

信息安全论坛(ISF)说,应对这种攻击所引起的混乱将需要中央政府通过国家重要的基础设施计划来协调解决。个别组织机构也必须清楚其依赖互联网的程度,并制定计划,以解决相对频繁发生的攻击风险。

信息安全论坛(ISF)建议您做以下工作:

• 与内部和外部利益相关者沟通,达成和确定其他的通讯方式

• 与地方性机构(例如政府、竞争对手、行业论坛)建立关系,为互联网通信发生故障时制定新的和标准化的应急计划

• 评估通信提供商的应急计划; 要求其符合标准化或组织规划,同时确保解决与合作伙伴间存在的应急计划的差距

• 为关键系统和服务制定替代性供应链模型

勒索软件劫持物联网

不法分子越来越多地利用勒索软件获利。他们将受害者的数据加密,然后要求其付款,再提供加密密钥。根据去年赛门铁克公司发布的一份报告,不法分子为其控制数据提出勒索的平均赎金从2015年的294美元上涨至2016年的679美元。去年美国联邦调查局(FBI)估计,截止2016年底,网络不法分子通过勒索软件所获得的收入已达到约10亿美元。

信息安全论坛(ISF)认为,在未来两年,网络不法分子将越来越多地把勒索软件植入与物联网(IoT)连接的智能设备上。攻击者可以持有特定的赎金设备,但信息安全论坛(ISF)认为他们也将通过这些设备,在整个组织机构中的其他设备和系统上安装勒索软件。

这种攻击行为有可能破坏商业运作和自动化生产线。但是,如果这些攻击行为影响到了医疗植入物或车辆部件,那么这些攻击行为也可能是致命的。

“医疗设备和制造业产品,所有这一切‘东西’都存在于我们生活中,”杜宾说道。“无人驾驶汽车、交通运输、铁路、金融服务。我们已经在所有这些领域都安装了智能设备,并且所有这些智能设备都存在于现实世界中,但我们从未真正考虑清楚接下来该怎么做,这似乎有点太晚了。”

杜宾表示,连接设备的制造商需要与客户合作解决安全漏洞,并且至少确保一些基本的安全功能始终可以使用。所有组织机构都需要明确他们当前所连接设备的使用状态,以后如何计划增加设备的使用,以及如果一个或多个设备受到勒索软件的劫持,那么他们将会受到什么影响。

信息安全论坛(ISF)建议您采取以下措施:

• 对制造商施加压力(例如,通过行业机构),使其在设备中提供全面的安全功能。

• 游说并影响行业机构,制定规则,确保物联网设备达到最低安全标准。

• 提高整个组织机构内对勒索软件威胁的认识,并规定采购具备最低安全要求的物联网设备。

• 将与物联网相关的勒索软件案例纳入到您的业务连续性计划中,并定期模拟演习发生勒索软件劫持。

• 与制造商和客户合作,收集有关您所使用的物联网设备相关安全威胁情报。

胁迫享有特权内部人员交出关键信息

您的工作​可能涉及高科技和数字化业务,但您的员工存在于现实世界中,这使得他们很容易受到敲诈勒索、恐吓和暴力的侵害。信息安全论坛(ISF)表示,在未来的两年中,资金充足的犯罪集团将其全球影响力和数字化专长与现实中的暴力威胁相结合,挟持有特权的内部人员,使其交出关键信息资产(如财务明细、知识产权和战略计划)。

这些特权内部人员可能是高级业务经理和高管,但也可能是他们的个人助理、系统管理员、基础设施架构师、网络支持工程师甚至是某些外部承包商。一些极端的情况可能涉及“老虎绑架”这些内部人员的家庭成员。

信息安全论坛(ISF)认为,犯罪团伙可能会因为以下三个原因而使用这些手段:

• 他们可以大大降低其所需要的网络专业技能,用“武力”来代替专业知识。

• 他们可以持续利用受害者,并说服他们再次就范。

• 他们可以在“一般交易”操作时,窃取关键信息。

为了保护自身免受这些威胁,信息安全论坛(ISF)建议您采取以下措施:

• 明确您的关键信息资产以及它的所有人及管理人。

• 采取特别措施对这些特权人员进行保护(例如,进行人身安全防范的指导,接触社交工程的方法)。

• 在组织机构内实施某些机制,以保护内部人员免受安全威胁(例如,筛选新员工;在雇佣合同中嵌入适当的条款)。

• 对特权内部人员采取信任但需验证的方式(例如培养信任文化,同时对系统访问进行适当地验证和监控)。

下接 未来两年内的九大信息安全威胁(二)

本文转自d1net(转载)

网友评论

登录后评论
0/500
评论
boxti
+ 关注