[周报全文]2015:五大趋势将主宰安全领域

2015-05-19 |  作者:CNW.com.cn |  来源:独家

摘要随着时间的推移,网络犯罪变得越来越复杂,其相互之间的协作性也在逐渐加强。想要在2015年继续有效地对抗网络犯罪,信息安全专家们首先需要了解2015年信息安全的五大趋势。

随着时间的推移,网络犯罪变得越来越复杂,其相互之间的协作性也在逐渐加强。想要在2015年继续有效地对抗网络犯罪,信息安全专家们首先需要了解2015年信息安全的五大趋势。

在信息安全领域,2014年似乎是一个多事之秋,网络安全和数据泄露事件频频发生,且波及到了零售商、银行、游戏公司和政府部门等各个组织机构。

信息安全论坛(Information Security Forum,ISF)的总经理Steve Durbin指出,虽然2014年刚刚结束,但是未来网络犯罪和网络威胁的规模、严重性和复杂性将会在新的一年里持续增强。ISF是一个非赢利性的协会组织,它致力于帮助其成员公司进行安全和风险管理评估。

展望2015年,ISF总结了将主宰信息安全领域的五大趋势。

Durbin指出:“我个人认为,2015年网络安全领域并没有什么太震撼的新动态发生,唯一的新变化就是网络犯罪和安全威胁的复杂性将会增加。”

1.网络犯罪

随着时间的推移,以及网络技术的发展,互联网已逐渐沦为犯罪分子、极端主义者和恐怖主义者捞取金钱,赢得关注和制造混乱的猎场,甚至一些不法分子也借助互联网,通过网络攻击搞垮企业和政府网络。

如今的网络犯罪手段基本上均出自前苏联时期。Durbin指出,前苏联时期,网络犯罪分子的技术水平非常高,而且他们通常使用的是非常现代化的工具。比如,他们往往会使用21世纪的网络技术工具来攻击20世纪时期的网络系统。

2014年,在信息安全领域,网络犯罪分子之间的合作非常紧密,他们所采用的攻击技术也非常先进,使得大多数受攻击的企业很难察觉到。

Durbin表示:“2015年,企业一定要对那些可能发生的网络威胁做好准备,以便在网络威胁或者极具影响力的网络安全事件发生时,企业有能力抵挡和应对。”一方面,当前的网络犯罪、网络黑客攻击和企业监管要求的合规成本一直在增长,另一方面网络攻击技术也在不断地发展和进步,然而,企业对于安全部门的投入却并没有相应的增加。业界的趋势和企业自身的因素结合到一起,企业就很容易受到网络安全攻击,且后果会非常严重。因此,企业需要能够清楚地认识到其业务的重要性,并为保护业务做相应的投资,尽可能减少因不可预见的网络安全威胁带来的影响。

2.监管

目前,大多数的政府部门已经或者正在创建一套监管制度,以完善其内部的安全管理,同时确保个人可识别信息(Personally Identifiable Information,PII)应用的安全。如果企业不能有效地保护PII使用的安全性,那么政府将会对相应的企业处以罚款。

在全球范围内,安全监管制度的建立和完善将在2015年给企业带来更大的压力。

Durbin指出:“在世界范围内,业界出台了越来越多的监管制度和条例,以规范企业对于信息的收集、存储和使用。同时对那些造成数据丢失和数据泄露的行为也会有非常严厉的处罚,这一点在欧盟地区尤其严格。”

Durbin说:“希望数据和安全保护监管条例的制定工作将会继续发展,同时除了企业的安全部门之外,也希望监管制度会涉及法律、人事和企业的管理层。”对此,企业可以将欧盟制定的数据泄露和隐私的监管制度视为风向标,并适时作出相应的计划。

Durbin指出:“管理者和政府部门正试图介入网络安全管理,而这也将给企业带来更大的压力。企业需要有足够的资源应对安全事件的发生,同时也需要实时关注网络安全和网络攻击等事件的发展动态。如果一些企业有自己的法律咨询公司,那么这些企业就需要充分利用法律咨询公司保护自身的数据和信息安全。如果企业不能很好地利用其法律咨询公司的话,那么对于企业来说这将是一种损失。”

3.第三方供应商带来的威胁

供应链是每一家企业全球业务运营的一个重要组成部分,同时它也是当今全球经济的重要支柱,而这些企业的安全主管们也对其供应链业务的安全越来越重视。在企业中,很多有价值和敏感的信息都会其与供应商共享,而这些信息一旦共享,企业就失去了对它们的直接控制。这将导致企业数据信息的保密性、完整性和可用性的风险增加。

即使是看起来安全的连接,也可能会给企业带来安全风险或被攻击的可能性。例如,攻击者可以通过企业HVAC供应商提交的发票信息,攻击目标企业使用的网络服务应用。

Durbin指出:“在未来的一年,第三方供应商还将继续受到目标性攻击带来的压力,并很难保障数据的保密性、完整性或可用性。所有的企业(+微信networkworldweixin),无论规模大小,都要明白与第三方供应商合作时,第三方供应商可能会对其知识产权、客户、员工信息、商业计划或谈判造成的威胁和安全影响。同时企业也需要考虑到其所需要承担的后果。不过,这个第三方供应商并不仅仅局限于制造商或者销售合作伙伴,还有企业雇佣的专业服务供应商、律师、会计,以及所有可以经常接触到企业最有价值的数据资产的人或组织。”

此外,企业的信息安全专家还需要对企业中负责业务的人员进行全面的尽职调查,以保障企业的业务安全。

Durbin指出,企业的当务之急是要有强劲的业务连续性计划,能够提升企业的韧性,并提升企业高层管理人员的信心。一个结构完善的供应链信息风险评估方法可以细致地、一步一步地将一个重要的项目分成几个不同的管理部分,这种方式可以是以信息为驱动的,而不是以供应商为中心的。因此在企业中它是可扩展、可重复的。

4.职场BYOX趋势的发展

目前,不管企业是否欢迎,BYO(bring-your-own,自带……)的趋势已经发展起来,但是很少有企业制定完整的政策规划来管理企业内部的BYO。

随着企业员工自带移动设备和应用,以及基于云的存储和访问进入到企业的工作环境中,这种现象仍将持续。所有的企业,无论规模大小都将比之前面临着更高的信息安全风险,这些信息安全风险主要来源于内部和外部两方面的因素。内部因素是由于企业缺乏对这些自带设备的管理,外部因素则是企业缺乏对软件安全漏洞的有效处理,以及企业部署测试不良、不可靠的业务应用程序。

Durbin表示,如果企业觉得BYO给企业带来的风险已经高过企业的能力范围,那么企业首先需要做的就是确保企业能够跟得上BYO发展的脚步,时刻把握BYO的动态。相反,如果企业觉得能够处理BYO带来的安全风险,那么企业就需要建立一套结构完整的BYO管理项目。

Durbin补充说:“企业需要注意的是,如果企业在工作环境中实施的是不完善的个人设备管理和使用策略,那么企业也会面临重要数据和信息泄露的问题。而且由于工作数据和个人数据的边界消失,将会有更多的企业业务信息出现在客户的设备上,并且没有任何的保护措施,使企业的业务信息陷于危险境地。”

不过,即使企业有一套针对BYO完善的政策,那么BYO的用户也会找到另一种方式使用其自带设备工作。这就好比挡住从海上激起的大浪,也许一开始你可以用一堆堆的小沙丘挡住潮水前进的趋势,但是最终潮水会冲垮小沙丘,冲上岸边。所以,针对企业BYO的政策,BYO用户的力量也是非常强大的。

5.人是企业安全的重要一环

企业中另一个安全风险来源就是每个企业中最重要的资产,又是最脆弱的攻击目标——人。

在过去的几十年中,一些企业砸进数百万美元致力于提高企业员工的信息安全意识;企业举办各种各样的活动或者培训,以改善员工工作行为,同时减少员工在工作过程中给企业带来的安全风险。

但是,企业这么做,无疑将是一个亏本的买卖。Durbin指出,企业需要有一套积极的安全行为准则,并把它当做业务流程的一部分。同时,企业与其担心、防范员工会泄露公司信息,不如努力让员工积极加入到保护企业安全的一线上去。

2015年,企业应该从提升员工安全意识方面转变为开发具体的解决方案,积极规范应对安全风险的信息安全行为。Durbin说:“由于人具有很多未知的因素,这也确实会给企业带来一定的安全风险。目前,已经有很多企业意识到人员是保障其企业安全的重要因素和资产,但是也有很多企业还没有认识到信息安全中‘人为因素’的重要性。从本质上来说,企业要保障安全,首先应该从员工方面下手。”

企业要提高员工信息安全的责任和意识,以保障企业的信息安全,这是远远不够的。企业最需要做的是在企业中形成一种积极的信息安全管理行为,并使其根深蒂固于企业的文化中,让员工养成一种“三思而后行”的习惯。虽然很多企业的合规活动都是在“安全意识”的主题下进行的,但是这背后真正的驱动者应该是风险,以及规避风险的新的管理行为。(王旋编译,更多内容详见: http://www.cnw.com.cn/P/6194)