每天都有新闻报道描述着新技术对人们的生活和工作方式带来的巨大乃至压倒性影响。诸如人工智能(AI)和物联网(IoT)等术语正在迅速成为日常用语,而且无论人们喜欢与否,有关它们的部署计划将于未来几年在商业领袖们的议程上占据重要位置。

有关网络攻击和数据泄露的头条新闻也是日益频繁。攻击者可谓无处不在:企业外部充斥着黑客、有组织的犯罪团体以及民族国家网络间谍,他们的能力和蛮横程度正日渐增长;企业内部是员工和承包商,无论有意与否,他们都可能是造成恶意或意外事件的罪魁祸首。

对于前进的方向,企业领导人总是会感到不确定。但这种困境往往是非常容易判断的:他们是应该急于采用新技术,以便在出现问题时大幅降低风险,或是选择等待并由此可能失去有力的竞争地位在?这种抉择应该很明确吧!

新的攻击将影响企业的商业信誉和股东价值,且网络风险存在于企业的各个方面。在前不久举行的信息安全论坛上,最新发布了主题为《威胁展望2020》的报告,为互联网世界将面临的新兴威胁给出了前瞻性预测。在《威胁展望2020》中,研究了未来两年信息安全即将面临的九大安全威胁,下面让我们一起了解一下这些威胁的具体内容,及其将会对企业或机构造成何种影响:

1. 网络攻击与物理攻击结合 危及生命摧毁商业

物理和网络攻击将同时部署,造成前所未有的破坏。许多民族国家行为者和恐怖组织(或两者共同努力)将有能力汇集其全部武装力量(包括传统的和数字的),来实施“混合”攻击。如果攻击成功,势必将造成大规模的损害。

其中,首当其冲的将是电信服务和互联网连接,从而导致个人和组织与外界隔绝。由于基本的物理和数字基础设施将会崩溃,所以应急服务以及地方和中央政府的援助将会变得异常缓慢或者根本就不存在。

这些攻击的目的是制造最大范围的混乱、恐惧和担忧。受灾的城市将陷入瘫痪,危及生命及企业运营安全。在家的人不能也不愿意去上班,或是没有电力和通信支持其在家工作。那些已经在办公室里的人也会被困在这个无处可逃的地方,因为攻击会从各个角度袭击他们。现存的业务连续性计划将毫无用处;当每个系统都处于故障状态,而个人生命也处于危险之中,他们将没有能力也没有精力准备应对可能发生的事件。人们会恐慌,工作议程也将取消。

2. 卫星事故将造成地面陷入混乱

受损的卫星信号,无论是被恶意对手欺骗还是与其他卫星或空间碎片碰撞,都会造成整个地球陷入混乱局面。随着卫星的制造成本越来越低,国家空间机构和个人企业也能够更容易地启动和维护它们,它们将逐渐发展成为现代生活的组成部分。通过卫星释放出的错误或欺骗性信号,将会干扰关键的交通和通信系统乃至金融服务。

如果伪造的GPS信号被发送到飞机、轮船和道路车辆系统之中,势必将威胁人们的生命财产安全,而且供应链也会受到阻碍;依赖准确时间戳(timestamps)标记数字支付的国际金融系统(从证券交易所到ATM机)将无法准确记录交易;通过误导基于天气或特定资产位置(例如,指示哪些农作物买入或卖出)的卫星数据的交易算法,将达到操纵金融市场的目的。

未来几年,卫星将在连接地面(Earth-based )基础设施和系统方面发挥越来越重要的作用。然而,组织需要认识到军方多年前就已经领悟到的一个事实——即一旦攻击卫星成功,没有人能够幸免于难。

3. 智能家居武器化

攻击者会想方设法地访问数以百万计的连接设备中的大部分——例如加热系统和烤箱——并将它们变成攻击武器。如此大规模的电器设备会被征用并被滥用于许多破坏性的目的,类似于使用大量受损联网设备组成僵尸网络以启动大规模DDoS攻击的方式。然而,作为一项值得特别关注的威胁类型,它也存在损害电网安全的可能性。

这些电器构成了物联网的一部分——许多都可以在家中、办公室以及工厂内找到——它们始终处于“开启”状态并始终连接到互联网。如果这些电器受到攻击者操纵,同切被切换为“全功率”(full power)模式,将会产生意想不到的功率需求,最终造成电力过载并导致地区电网不能正常运行。随着电网宕机或严重退化,组织的能力将被削弱并难以发挥作用。

许多最基础的业务连续性计划(例如指导员工在家办公)将变得毫无用处,因为他们既缺乏电力支持也没有沟通途径。人们赖以生存的重要服务(如供水、食品生产系统和医疗保健等)也将不能使用。此外,电力配给也将影响其他公用事业和服务,例如供暖、照明和运输等。最重要的是,受灾地区的企业将由此丧失竞争优势,因为处在非受灾地区的竞争对手将能够迅速利用这些日渐增长的需求,发展扩大其业务规模。

4. 量子武器竞赛削弱数字经济

下一代计算机技术(量子计算)将能够在几小时或几分钟内破解加密技术,而要完成这一过程,传统计算机需要花费数百万年的时间。因此,构成当今数字经济基础的安全机制将需要彻底检修,此举可能会使组织面临数百万美元的转换成本和交易损失。但是,实际问题现在就开始了。特别是,各方将通过收获巨大的加密信息池来抢先采用这种新技术,并在未来技术可用时使用它。

国家情报机构将率先采用这项技术。由此一来,对手的敏感信息、通信、服务、交易以及关键基础设施都将再无秘密可言。想要率先掌握该技术的愿望势必会推动数字军备竞赛发展。谁将成为量子优胜者?目前尚不清楚。

一些民族国家可能会进一步扩大视野,将量子计算作为一种攻击性武器来破坏他们感知到的敌人的数字经济。然后,公共和私营部门组织将成为一系列攻击者的首要目标。在这种情况下,没有人是安全无忧的,即便是那些相信他们的信息现在是安全的组织也无法幸免。

5. 人工智能恶意软件放大攻击者的能力

根据许多未来学家的观点,人工智能将为社会带来巨大的收益,特别是在研究和医疗保健等领域。然而,它也将以更具破坏性的方式进行部署,其中之一将是构建能够改变其形式和目的的计算机恶意软件。攻击者将使用这种人工智能恶意软件来寻找访问组织网络并破坏其运营的新方法。一些关键任务信息资产(如商业秘密、研发计划和业务战略等)将成为其首要攻击目标,因为所有这些信息都未经检测。

因为它是基于AI的,所以这种新型恶意软件将能够从其环境中学习,分析应用程序和系统以实时发现和利用新的漏洞。在这种情况下,很难区分哪些是安全的,能够免受未经授权的访问影响,而哪些是不安全的。即使以前被认为受到良好保护的信息也有可能会受到损害。

用于识别和清除恶意软件的传统技术很快也将失效。相反地,需要基于人工智能(AI)的解决方案来对付这种新的恶意软件,从而形成了“AI攻防”较量的局面。而究竟谁会是最终的胜利者,可能需要相当长的时间进行验证。

6. 针对联网车辆的攻击危及人身安全

攻击者将会远程攻击一系列联网车辆(包括汽车、货车、船只以及火车等),通过利用机载系统内的漏洞来控制并窃取它们或是禁用重要的安全功能。所有类型的车辆都将暴露于威胁之中。至于攻击目标的规模,很可能大到惊人:例如,Gartner预测全球制造的联网汽车数量将从2016年的1240万增长到2020年的6100万。

这一威胁造成的影响将因人而异。乘坐联网汽车旅行或是在联网汽车附近的人将会面临生命危险;那些依赖连接车辆运输货物或材料的供应链组织将面临运营中断的风险;汽车制造商及其分销商将面临声誉方面的损失;维护提供商将面临迫切需要执行软件和硬件更新的压力。

事故责任(包括故意的攻击行为)将成为一个特别热门的话题。保险公司将被迫重新考虑他们的策略,以重新制定涉及连接车辆事件的索赔事宜;组织希望自己是无可指责的,但可能也要承担责任;如果事故引发广泛关注,汽车制造商可能将面临复杂的集体诉讼战。

7. 生物识别技术提供一种错误的安全感

对便利性和可用性的需求,将推动组织转向使用生物识别身份验证方法作为所有形式计算和通信设备的默认设置,以取代如今的多因素身份验证方法。但是,对一种或多种生物识别技术功效的任何错误信任都会导致敏感信息暴露。而针对生物识别技术的攻击也会对企业的财务和声誉带来损失。

由不同供应商生产的各种各样的专有技术将使问题变得更加复杂化。由于没有通用的全球生物识别安全标准,所以一些技术将不可避免地落后于其他技术。那么问题就变成:今天哪些技术是安全的?以及第二天它还会是安全的吗......那么第三天、第四天......呢?

随着新设备逐渐渗透到组织之中,现有的安全策略将远远不能解决这些新出现的问题。如果未能对这些重大变化做足计划和准备,势必将造成一些组织陷入这样一种危险境地:即企业的关键或敏感信息受到单一生物识别因素的保护,而这种生物识别因素被证实是脆弱的。

8. 新法规将增加风险和合规性负担

到2020年,新出台的国际和地区法规的数量和复杂性,加上现有的法规,将会造成合规资源和机制不堪重负。此外,这些新的合规要求也将导致一个不断膨胀的“攻击面”的出现,这个攻击面必须得到充分保护,因为攻击者会不断扫描、探测并寻求方法攻破它。

对于一些组织来说,新的合规要求会增加必须储存和保护的敏感信息的数量,包括客户详细信息和业务计划等。其他组织可能会注重数据透明度方面的监管要求,从而导致信息被提供给第三方使用,这些第三方将在多个地点传输、处理和存储这些信息。

在应对大量监管义务的同时,平衡可能相互矛盾的需求,可能会将主要员工从重要的风险缓解活动中转移出去,或者将合规失败的影响提高到新的水平;企业领导也将面临更为艰难的抉择;那些判断失误的员工可能会使其组织面临非常严重的经济和声誉损失。

9. 专业人员成泄露组织机密的“切入口”

商人无情追逐利润的本性以及不断变化的劳动力市场都将营造一种不确定和不安全的气氛,最终会降低员工对组织的忠诚度。而这种忠诚度的缺失也将会被利用:“兑现”公司机密(包括安全漏洞等组织薄弱点)所带来的巨大诱惑和高额回报,将随着这些机密不断增长的市场价值得到进一步放大。即便是你认为值得信赖的专业人员也会面临诱惑,忠诚度受到考验。

大多数组织已经认识到,有关关键任务信息资产的密码及密钥必须谨慎分发,只有那些既需要它们又被视为值得信赖的人员才能获取到这些信息。然而,现在已经通过初步审查和背景调查的员工或许会在将来面临巨大诱惑或胁迫(如威逼利诱、绑架勒索、金钱回报等),从而做出违背该信任的决定。

内部威胁一直很重要,稍一出错就可能使整个组织陷入危险境地。漏洞悬赏和道德披露计划的建立,加上网络犯罪或黑客对于机密信息的需求,都促使漏洞信息的价值不断攀升。那些依赖现有机制来确保员工和合同方的忠诚度,从而赋予其获得敏感信息的组织,很快将会发现这些机制的不足。

结语

随着威胁场景地不断变化,组织必须全面致力于采取严谨而实用的方法来管理未来的这些重大变化。此举需要组织内每个级别的员工都能参与进来,包括董事会成员以及非技术职务的经理等。

上述列出的九个威胁场景暴露了未来两年最突出的安全风险。它们有能力以惊人的速度在网络空间传播其影响,特别是当互联网的使用率不断攀升时。随着变革步伐的加剧,许多组织将难以应付。提前认清这些威胁并做好防御准备,将能够最大程度地降低风险损失。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。