每年的歲末年初通常是回顧和展望行業(yè)發(fā)展的時(shí)候。盡管信息安全多年來在工具、技術(shù)、培訓(xùn)、意識(shí)方面取得了巨大進(jìn)步,但仍然存在重大挑戰(zhàn)。以下是行業(yè)專家對(duì)2022年信息安全方面面臨的主要挑戰(zhàn)的預(yù)測(cè)。其中有一些是長(zhǎng)期存在的問題,有一些是新出現(xiàn)的問題。以下介紹了人們可能在2022年面臨的十大安全挑戰(zhàn):
1.文件保留政策
人們往往忘記數(shù)字安全首先與信息管理有關(guān)。一切都與數(shù)據(jù)有關(guān)。歸根結(jié)底,數(shù)據(jù)安全的目標(biāo)是確保正確的信息(具有完整性)傳遞給正確的人員,并且不會(huì)流向其他地方。
在很大程度上,這意味著要做非常難做的事情。這意味著映射數(shù)據(jù)流(而不是網(wǎng)絡(luò))。人們需要了解哪些數(shù)據(jù)位于何處、應(yīng)該去往何處以及備份和存儲(chǔ)的位置。這也意味著了解數(shù)據(jù)如何通過系統(tǒng)流動(dòng);數(shù)據(jù)流經(jīng)的地方、流經(jīng)的網(wǎng)絡(luò)和設(shè)備以及存儲(chǔ)方式(永久和臨時(shí))。還有一個(gè)問題是,創(chuàng)建的大部分?jǐn)?shù)據(jù)(電子郵件)可能會(huì)在第三方或通過第三方存儲(chǔ)或傳輸,或者可能會(huì)發(fā)送給第三方,第三方本身可能會(huì)重新傳輸數(shù)據(jù)或?qū)⑵浜喜⒌狡渌麛?shù)據(jù)流中。
在映射數(shù)據(jù)流之后,下一步是對(duì)數(shù)據(jù)進(jìn)行分類。哪些是機(jī)密數(shù)據(jù)?哪些是公開的數(shù)據(jù)?從保密的角度來看,哪些數(shù)據(jù)是關(guān)鍵的(如果數(shù)據(jù)被發(fā)布,企業(yè)或第三方會(huì)發(fā)生什么)?
從數(shù)據(jù)完整性(例如財(cái)務(wù)披露)的角度來看,哪些數(shù)據(jù)至關(guān)重要?從可用性的角度來看,哪些數(shù)據(jù)至關(guān)重要(例如植入的心臟起搏器)?從數(shù)據(jù)安全的角度來看,這只是數(shù)據(jù)分類。然后還必須從數(shù)據(jù)保留和數(shù)據(jù)銷毀的角度對(duì)數(shù)據(jù)進(jìn)行分類。需要保存多久?如何保存它?必須將它放在哪里?數(shù)據(jù)可以導(dǎo)出嗎?可以刪除嗎?必須“擦除”而不是刪除數(shù)據(jù)嗎?如果要?jiǎng)h除數(shù)據(jù),知道它在哪里嗎?
這些問題真的很難回答和解決,因?yàn)槿藗儍A向于保留數(shù)據(jù)。這意味著需要將數(shù)據(jù)從一個(gè)地方移動(dòng)到另一個(gè)地方——移動(dòng)到U盤、硬盤或移動(dòng)設(shè)備上,并通過電子郵件發(fā)送到自己的郵箱。然而人類也是懶惰的,因?yàn)榛ㄙM(fèi)幾個(gè)小時(shí)瀏覽文檔和電子郵件并對(duì)它們進(jìn)行“分類”幾乎沒有明顯的效用,所以最終獲得大量從未分類也從未刪除的數(shù)據(jù)。或者更準(zhǔn)確地說是大量的數(shù)據(jù)。人們沒有采用很好的工具來自動(dòng)分類數(shù)據(jù)并自動(dòng)刪除。如果確實(shí)有這樣的工具,那么也可能成為黑客和欺詐者的強(qiáng)大工具。所以,這是一個(gè)挑戰(zhàn)。
2.保險(xiǎn)
網(wǎng)絡(luò)保險(xiǎn)已經(jīng)以這樣或那樣的形式存在了多年。隨著勒索軟件攻擊事件(以及與之相關(guān)的索賠)的增加,保險(xiǎn)公司的應(yīng)對(duì)措施是更加有選擇性地選擇投保者和投保內(nèi)容,要求潛在的承保者采取某些行動(dòng)作為投保的先決條件,并提高保費(fèi),以便將某些損失排除在承保范圍之外。他們還采取了狹隘的防御立場(chǎng),拒絕理賠。例如與勒索軟件“損壞”的文件相關(guān)的索賠,保險(xiǎn)公司認(rèn)為這些文件沒有真正“損壞”。此外,保險(xiǎn)公司還與數(shù)字取證和調(diào)查公司以及網(wǎng)絡(luò)律師事務(wù)所建立合作關(guān)系,為風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)緩解、風(fēng)險(xiǎn)轉(zhuǎn)移和事件響應(yīng)提供“一站式服務(wù)”。2022年面臨的挑戰(zhàn)是確保保險(xiǎn)本身和保險(xiǎn)市場(chǎng)能夠應(yīng)對(duì)數(shù)字市場(chǎng)帶來的實(shí)際威脅和挑戰(zhàn)。欺詐性電匯、供應(yīng)鏈干擾、第三方責(zé)任、商業(yè)信譽(yù)管理以及加密貨幣損失都是新的威脅,大多數(shù)企業(yè)的保險(xiǎn)單可能不足以應(yīng)對(duì)這些威脅。此外,隨著網(wǎng)絡(luò)保險(xiǎn)價(jià)格的上漲,許多中小型企業(yè)被排除在保險(xiǎn)市場(chǎng)之外。最后,當(dāng)前的商業(yè)網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)可能不足以解決兩個(gè)相關(guān)問題:系統(tǒng)供應(yīng)鏈(第三方)索賠和與民族國(guó)家發(fā)起的網(wǎng)絡(luò)攻擊相關(guān)的索賠。現(xiàn)在可能是政府介入的時(shí)候了,以確保網(wǎng)絡(luò)保險(xiǎn)政策是合理全面的,并且負(fù)擔(dān)得起。因此,這仍然是一個(gè)挑戰(zhàn)。
3.勒索軟件
勒索軟件對(duì)企業(yè)來說仍然是一個(gè)重大挑戰(zhàn),不僅因?yàn)樗鼰o處不在,還因?yàn)槔账鬈浖艨赡軐?duì)從上到下以及對(duì)企業(yè)的合作伙伴或客戶產(chǎn)生重大影響。與以前的黑客竊取數(shù)據(jù)然后利用或?qū)ν獬鍪鄄煌账鬈浖粽咭蕾囉谑芎φ咧Ц兜内H金,他們不必在竊取數(shù)據(jù)之后四處尋找買家,而是將數(shù)據(jù)(或者只是訪問該數(shù)據(jù))出售給受害者自己。隨著通過加密貨幣進(jìn)行匿名支付流程的普遍存在,勒索軟件攻擊者可能針對(duì)特定的企業(yè)、行業(yè)、計(jì)算機(jī)或數(shù)據(jù)庫(kù)進(jìn)行攻擊,或者可能只是針對(duì)特定目標(biāo)。勒索軟件的防御都是復(fù)雜且不全面的——無論是入侵防御、網(wǎng)絡(luò)分段、數(shù)據(jù)備份和恢復(fù)還是高級(jí)事件響應(yīng)(包括支付)。
4.供應(yīng)鏈
出于一些目的,行業(yè)專家對(duì)“供應(yīng)鏈”進(jìn)行了非常廣泛的定義。企業(yè)的供應(yīng)鏈?zhǔn)瞧髽I(yè)依賴于關(guān)鍵數(shù)據(jù)、流程或服務(wù)的任何東西。軟件可以有一個(gè)相關(guān)的供應(yīng)鏈,硬件也是如此。硬件、服務(wù)、人員等都是供應(yīng)鏈的一部分。當(dāng)人們籠統(tǒng)地談?wù)?ldquo;供應(yīng)鏈安全”或“供應(yīng)鏈彈性”時(shí),實(shí)際上是在談?wù)摍z查所有的依賴關(guān)系和相互依賴關(guān)系,并提出一些棘手的問題,例如“如何知道該產(chǎn)品或服務(wù)的來源?如果數(shù)據(jù)不可用會(huì)發(fā)生什么?如果云計(jì)算不安全怎么辦?如果無法訪問數(shù)據(jù)怎么辦?”
供應(yīng)鏈很難理解,也越來越難以管理。由于相互依賴關(guān)系眾多,任何實(shí)體的安全性和彈性都依賴于它所依賴的任何和所有硬件、軟件、人員、流程等的安全性和彈性。雖然第三方審計(jì)、數(shù)據(jù)保護(hù)協(xié)議和標(biāo)準(zhǔn)都可能有所幫助,但問題確實(shí)很復(fù)雜,而且很可能會(huì)持續(xù)存在。
5.多因素身份驗(yàn)證
當(dāng)人們談到身份驗(yàn)證時(shí),通常指的是“授權(quán)”訪問數(shù)據(jù)、計(jì)算機(jī)、網(wǎng)絡(luò)或處理程序的人員是否是被允許的人員,他們是否出于被允許的目的訪問和使用數(shù)據(jù)?傳統(tǒng)上,使用“身份驗(yàn)證”作為授權(quán)代理,通過向被授權(quán)人提供某種形式的憑證,然后提供憑證以建立授權(quán)。在這種憑證的來回傳輸過程中,可能會(huì)出現(xiàn)漏洞,包括中間人(MiTM)攻擊、欺騙、憑證盜竊等。此外,強(qiáng)身份驗(yàn)證對(duì)強(qiáng)隱私來說是一種詛咒,因?yàn)橐粋€(gè)經(jīng)過強(qiáng)身份驗(yàn)證的個(gè)人可以通過其憑證在其訪問的每個(gè)地方和所做的一切進(jìn)行跟蹤。人們可以而且將會(huì)在身份驗(yàn)證方案中做得更好,但由于身份驗(yàn)證的強(qiáng)大功能,它通常是最普遍的攻擊對(duì)象。這是一個(gè)困難而持久的問題,這就是它成為一個(gè)主要挑戰(zhàn)的原因。
6.數(shù)據(jù)保護(hù)協(xié)議
供應(yīng)鏈問題的一個(gè)必然結(jié)果是邊界問題。企業(yè)通常只能解決他們所依賴的基礎(chǔ)設(shè)施的一小部分問題。他們的郵件由第三方云計(jì)算提供商提供。他們的銷售、基礎(chǔ)設(shè)施、賬單、發(fā)票、人力資源等也是如此,他們雇用顧問、獨(dú)立銷售代表、律師、供應(yīng)商等;他們每個(gè)人都可以訪問數(shù)據(jù)、網(wǎng)絡(luò)、計(jì)算機(jī)等。對(duì)于企業(yè)直接控制之外的任何數(shù)據(jù)或流程,可以強(qiáng)迫第三方“做某事”來保護(hù)其數(shù)據(jù)。有時(shí),通知數(shù)據(jù)泄露只是一項(xiàng)義務(wù)。有義務(wù)遵守某些數(shù)據(jù)隱私或數(shù)據(jù)安全標(biāo)準(zhǔn)。這些協(xié)議就像一顆定時(shí)炸彈一樣,直到其中一家公司遭受數(shù)據(jù)泄露或其他事件,然后起訴他們違約。此外,企業(yè)認(rèn)為第三方簽署了他們保護(hù)企業(yè)數(shù)據(jù)的協(xié)議這一事實(shí)意味著是清白的。因此,企業(yè)需要重視數(shù)據(jù)保護(hù)協(xié)議的問題。
7.國(guó)際數(shù)據(jù)隱私條例
正當(dāng)人們開始就數(shù)據(jù)隱私原則(有限收集、同意、合法使用、數(shù)據(jù)生命周期、被遺忘權(quán)等)達(dá)成共識(shí)時(shí),數(shù)據(jù)隱私法律法規(guī)變得更加復(fù)雜和難以遵守。隱私監(jiān)管的另一個(gè)問題是互聯(lián)網(wǎng)已經(jīng)變得依賴于缺乏數(shù)據(jù)隱私——Facebook、谷歌、亞馬遜、蘋果等大型科技公司依賴于海量數(shù)據(jù)的收集和分析,大量的個(gè)人數(shù)據(jù)為這些公司帶來了巨大價(jià)值和利益。數(shù)據(jù)隱私法規(guī)的問題在于,人們希望通過讓第三方為他們收集數(shù)據(jù)和關(guān)于他們的數(shù)據(jù)來獲得隱私和效用。
8.遠(yuǎn)程工作/遠(yuǎn)程訪問
如果說新冠疫情教會(huì)了人們什么的話,那就是遠(yuǎn)程工作得以興起。遠(yuǎn)程工作、遠(yuǎn)程訪問、以及一些支持遠(yuǎn)程辦公的工具爆炸式增長(zhǎng),已經(jīng)在人員與數(shù)據(jù)之間造成了物理脫節(jié)。數(shù)據(jù)可以在任何地方和任何時(shí)間被訪問。這種斷開為黑客、欺詐者和其他人攻擊數(shù)據(jù)和網(wǎng)絡(luò)創(chuàng)造了機(jī)會(huì)。隨著人們需要更多的遠(yuǎn)程服務(wù)(例如遠(yuǎn)程醫(yī)療)并要求能夠遠(yuǎn)程工作,問題只會(huì)變得更糟。
9.人員短缺
有些企業(yè)缺乏良好的安全措施,部分原因是工作本身的性質(zhì)。良好的安全人員遵循復(fù)雜的規(guī)則,知道如何與其他人聯(lián)系并分享他們的見解,他們是“團(tuán)隊(duì)合作者”,可以在沒有任何監(jiān)督的情況下工作數(shù)小時(shí)或數(shù)天。而他們本質(zhì)上也是一名黑客,但永遠(yuǎn)不會(huì)做黑客做的事情。難怪企業(yè)很難招募和激勵(lì)優(yōu)秀的安全人員。
10.安全意識(shí)
一些企業(yè)表示已經(jīng)對(duì)員工進(jìn)行了大量的安全培訓(xùn)。但實(shí)際上員工只是參加時(shí)間很短的安全培訓(xùn)課程,然后每年參加一次進(jìn)修課程。這是一件苦差事,及格率通常為75%到80%,這意味著他們可能有25%的出錯(cuò)機(jī)率,但仍然通過了安全培訓(xùn)。然而在許多情況下,員工或者是抵御網(wǎng)絡(luò)攻擊的第一道防線,或者是此類攻擊的推進(jìn)者。在通常情況下,這兩種情況都會(huì)同時(shí)存在。企業(yè)必須找到超越安全培訓(xùn)的方法,加強(qiáng)安全文化。當(dāng)然,在重大勒索軟件攻擊事件發(fā)生之后,人們對(duì)數(shù)據(jù)安全的需求更加敏感。問題在于許多員工不知道如何維護(hù)安全或不在乎。然而在大多數(shù)時(shí)候,這是因?yàn)閱T工認(rèn)為繞過安全要求以完成工作是一種必要的或有用的措施。因此,首席信息安全官的部分工作是找出員工繞過安全措施的方式和原因,找到幫助他們完成工作的方法。并在企業(yè)內(nèi)部灌輸一種安全、好奇和關(guān)注的文化。
以上這些是企業(yè)可能在2022年面臨的十大安全挑戰(zhàn)。這些問題中的大多數(shù)都是難以解決的,而且必然會(huì)重演。
