主题一:各类新型技术的广泛使用扩大了安全威胁的影响范围
信息技术已经成为了现社会生活中不可或缺的一个重要组成部分。ISF预计在未来的两年内,无论是对企业还是个人来说,信息技术都将会全面覆盖我们的日常工作和生活。随着各大企业利用技术来最大程度地提升了企业运行效率,这也就意味着他们还需要对相关的安全威胁进行处理,而且采用的信息技术越多,需要面对的安全威胁因素范围也就更广。
物联网设备泄漏敏感信息
物联网设备正在迅速发展,而且实时数据采集的价值也变得越来越明显。除了对昂贵的工业设备进行优化,对正常运行设备的流量监控,实时采集设备健康信息,物联网设备还有很多其他的用途。毫无争议的是,各大组织和个人目前都在使用物联网设备。但是,用来采集数据的设备并不一定是安全的,而且设备中很有可能会存在后门。各大组织和个人也许并不了解物联网系统中那些模糊的隐私条款,这也就使得组织可以使用客户的个人数据。建议:
-在网络中添加物联网设备之前,确保相应的安全保护措施已经配置妥当。
-在部署物联网设备之前,先获得数据收集的许可,并且还需要考虑设备需要收集哪种信息,以及这些信息是否可以被共享。
-确保使用用户数据相关的条款是透明的,并且符合法律的规定。
-检查物联网设备的安全性,而不是将设备从网络中隔离开。
算法透明度的问题
现在,各大组织和机构逐步开始使用各类算法来进行操作,而且还会在关键系统中利用算法来作出决策(例如自助停车系统和自动交易系统)。由于这些决策系统中并不需要人类的参与,所以组织也许并不了解他们的系统到底是如何工作的。系统如缺乏一定的透明度,将会带来非常严重的安全风险。而且我们现在会将很多算法引入工业控制系统和关键基础设备,如果我们不了解这些算法,那么将会带来非常严重的影响。建议:
-更新代码维护策略。
-识别算法控制系统,并对系统进行一定程度的人工干预。
某些政府利用恐怖组织来发动网络攻击
现在,某些政府已经开始支持和资助恐怖分子的相关恐怖主义行动了,这也就使得他们的秘密行动更加具有隐蔽性。未来的两年内,这种支持还将涉及到网络攻击能力(例如网络知识,培训,软件和硬件等), 目的就是为了利用恐怖组织来对其他国家的基础设施或机构进行攻击。这些恐怖组织所带来的影响将会远远超过之前那些黑客组织所带来的影响。建议:
-调整风险管理步骤,并加强这方面的安全保护措施。
-对现有的安全防护设备进行审查,并提升设备的性能。
-探讨威胁情报共享的可能性,并尝试与政府和组织合作一同抵抗这类安全威胁。
主题二:安全保护能力的下降
各大企业所建立的信息安全风险管理办法将会被各种各样的恶意攻击者所破坏,会有更加多的网络攻击事件发生。
企业高层的安全意识问题
在过去的几年中,各大组织和机构的高层管理人员并没有意识到信息安全的价值,开始逐步增加信息安全方面的开支预算。安全问题已提上日程,变成了一个首先需要考虑的问题。但是即使公司当前所采用的安全防护措施足够的强大,信息安全方面实质性的改变仍然需一定时间。建议:
-定期向企业高层提供安全风险报告。
-根据企业信息安全部门高层管理者对企业安全方面的期望来进行安全功能改进。
-从那些已经在信息安全方面取得成功的商业伙伴身上学习。
安全研究人员隐藏安全漏洞的信息
现在,在所有的主要部门中,软件正在逐步取代硬件设备。安全研究人员经常会发现安全漏洞,并且会将漏洞信息公布出来以提升设备的安全性能。但是,生产商也却以法律诉讼的形式来对这一行为进行回应,因为他们并不想与安全研究人员合作来修复相应的漏洞。接下来的两年中,这种趋势将会变得更加的普遍。
(文章来源:比特网)