每年的岁末年初通常是回顾和展望行业发展的时候。尽管信息安全多年来在工具、技术、培训、意识方面取得了巨大进步,但仍然存在重大挑战。以下是行业专家对2022年信息安全方面面临的主要挑战的预测。其中有一些是长期存在的问题,有一些是新出现的问题。以下介绍了人们可能在2022年面临的十大安全挑战:
1.文件保留政策
人们往往忘记数字安全首先与信息管理有关。一切都与数据有关。归根结底,数据安全的目标是确保正确的信息(具有完整性)传递给正确的人员,并且不会流向其他地方。
在很大程度上,这意味着要做非常难做的事情。这意味着映射数据流(而不是网络)。人们需要了解哪些数据位于何处、应该去往何处以及备份和存储的位置。这也意味着了解数据如何通过系统流动;数据流经的地方、流经的网络和设备以及存储方式(永久和临时)。还有一个问题是,创建的大部分数据(电子邮件)可能会在第三方或通过第三方存储或传输,或者可能会发送给第三方,第三方本身可能会重新传输数据或将其合并到其他数据流中。
在映射数据流之后,下一步是对数据进行分类。哪些是机密数据?哪些是公开的数据?从保密的角度来看,哪些数据是关键的(如果数据被发布,企业或第三方会发生什么)?
从数据完整性(例如财务披露)的角度来看,哪些数据至关重要?从可用性的角度来看,哪些数据至关重要(例如植入的心脏起搏器)?从数据安全的角度来看,这只是数据分类。然后还必须从数据保留和数据销毁的角度对数据进行分类。需要保存多久?如何保存它?必须将它放在哪里?数据可以导出吗?可以删除吗?必须“擦除”而不是删除数据吗?如果要删除数据,知道它在哪里吗?
这些问题真的很难回答和解决,因为人们倾向于保留数据。这意味着需要将数据从一个地方移动到另一个地方——移动到U盘、硬盘或移动设备上,并通过电子邮件发送到自己的邮箱。然而人类也是懒惰的,因为花费几个小时浏览文档和电子邮件并对它们进行“分类”几乎没有明显的效用,所以最终获得大量从未分类也从未删除的数据。或者更准确地说是大量的数据。人们没有采用很好的工具来自动分类数据并自动删除。如果确实有这样的工具,那么也可能成为黑客和欺诈者的强大工具。所以,这是一个挑战。
2.保险
网络保险已经以这样或那样的形式存在了多年。随着勒索软件攻击事件(以及与之相关的索赔)的增加,保险公司的应对措施是更加有选择性地选择投保者和投保内容,要求潜在的承保者采取某些行动作为投保的先决条件,并提高保费,以便将某些损失排除在承保范围之外。他们还采取了狭隘的防御立场,拒绝理赔。例如与勒索软件“损坏”的文件相关的索赔,保险公司认为这些文件没有真正“损坏”。此外,保险公司还与数字取证和调查公司以及网络律师事务所建立合作关系,为风险降低、风险缓解、风险转移和事件响应提供“一站式服务”。2022年面临的挑战是确保保险本身和保险市场能够应对数字市场带来的实际威胁和挑战。欺诈性电汇、供应链干扰、第三方责任、商业信誉管理以及加密货币损失都是新的威胁,大多数企业的保险单可能不足以应对这些威胁。此外,随着网络保险价格的上涨,许多中小型企业被排除在保险市场之外。最后,当前的商业网络保险市场可能不足以解决两个相关问题:系统供应链(第三方)索赔和与民族国家发起的网络攻击相关的索赔。现在可能是政府介入的时候了,以确保网络保险政策是合理全面的,并且负担得起。因此,这仍然是一个挑战。
3.勒索软件
勒索软件对企业来说仍然是一个重大挑战,不仅因为它无处不在,还因为勒索软件攻击可能对从上到下以及对企业的合作伙伴或客户产生重大影响。与以前的黑客窃取数据然后利用或对外出售不同,勒索软件攻击者依赖于受害者支付的赎金,他们不必在窃取数据之后四处寻找买家,而是将数据(或者只是访问该数据)出售给受害者自己。随着通过加密货币进行匿名支付流程的普遍存在,勒索软件攻击者可能针对特定的企业、行业、计算机或数据库进行攻击,或者可能只是针对特定目标。勒索软件的防御都是复杂且不全面的——无论是入侵防御、网络分段、数据备份和恢复还是高级事件响应(包括支付)。
4.供应链
出于一些目的,行业专家对“供应链”进行了非常广泛的定义。企业的供应链是企业依赖于关键数据、流程或服务的任何东西。软件可以有一个相关的供应链,硬件也是如此。硬件、服务、人员等都是供应链的一部分。当人们笼统地谈论“供应链安全”或“供应链弹性”时,实际上是在谈论检查所有的依赖关系和相互依赖关系,并提出一些棘手的问题,例如“如何知道该产品或服务的来源?如果数据不可用会发生什么?如果云计算不安全怎么办?如果无法访问数据怎么办?”
供应链很难理解,也越来越难以管理。由于相互依赖关系众多,任何实体的安全性和弹性都依赖于它所依赖的任何和所有硬件、软件、人员、流程等的安全性和弹性。虽然第三方审计、数据保护协议和标准都可能有所帮助,但问题确实很复杂,而且很可能会持续存在。
5.多因素身份验证
当人们谈到身份验证时,通常指的是“授权”访问数据、计算机、网络或处理程序的人员是否是被允许的人员,他们是否出于被允许的目的访问和使用数据?传统上,使用“身份验证”作为授权代理,通过向被授权人提供某种形式的凭证,然后提供凭证以建立授权。在这种凭证的来回传输过程中,可能会出现漏洞,包括中间人(MiTM)攻击、欺骗、凭证盗窃等。此外,强身份验证对强隐私来说是一种诅咒,因为一个经过强身份验证的个人可以通过其凭证在其访问的每个地方和所做的一切进行跟踪。人们可以而且将会在身份验证方案中做得更好,但由于身份验证的强大功能,它通常是最普遍的攻击对象。这是一个困难而持久的问题,这就是它成为一个主要挑战的原因。
6.数据保护协议
供应链问题的一个必然结果是边界问题。企业通常只能解决他们所依赖的基础设施的一小部分问题。他们的邮件由第三方云计算提供商提供。他们的销售、基础设施、账单、发票、人力资源等也是如此,他们雇用顾问、独立销售代表、律师、供应商等;他们每个人都可以访问数据、网络、计算机等。对于企业直接控制之外的任何数据或流程,可以强迫第三方“做某事”来保护其数据。有时,通知数据泄露只是一项义务。有义务遵守某些数据隐私或数据安全标准。这些协议就像一颗定时炸弹一样,直到其中一家公司遭受数据泄露或其他事件,然后起诉他们违约。此外,企业认为第三方签署了他们保护企业数据的协议这一事实意味着是清白的。因此,企业需要重视数据保护协议的问题。
7.国际数据隐私条例
正当人们开始就数据隐私原则(有限收集、同意、合法使用、数据生命周期、被遗忘权等)达成共识时,数据隐私法律法规变得更加复杂和难以遵守。隐私监管的另一个问题是互联网已经变得依赖于缺乏数据隐私——Facebook、谷歌、亚马逊、苹果等大型科技公司依赖于海量数据的收集和分析,大量的个人数据为这些公司带来了巨大价值和利益。数据隐私法规的问题在于,人们希望通过让第三方为他们收集数据和关于他们的数据来获得隐私和效用。
8.远程工作/远程访问
如果说新冠疫情教会了人们什么的话,那就是远程工作得以兴起。远程工作、远程访问、以及一些支持远程办公的工具爆炸式增长,已经在人员与数据之间造成了物理脱节。数据可以在任何地方和任何时间被访问。这种断开为黑客、欺诈者和其他人攻击数据和网络创造了机会。随着人们需要更多的远程服务(例如远程医疗)并要求能够远程工作,问题只会变得更糟。
9.人员短缺
有些企业缺乏良好的安全措施,部分原因是工作本身的性质。良好的安全人员遵循复杂的规则,知道如何与其他人联系并分享他们的见解,他们是“团队合作者”,可以在没有任何监督的情况下工作数小时或数天。而他们本质上也是一名黑客,但永远不会做黑客做的事情。难怪企业很难招募和激励优秀的安全人员。
10.安全意识
一些企业表示已经对员工进行了大量的安全培训。但实际上员工只是参加时间很短的安全培训课程,然后每年参加一次进修课程。这是一件苦差事,及格率通常为75%到80%,这意味着他们可能有25%的出错机率,但仍然通过了安全培训。然而在许多情况下,员工或者是抵御网络攻击的第一道防线,或者是此类攻击的推进者。在通常情况下,这两种情况都会同时存在。企业必须找到超越安全培训的方法,加强安全文化。当然,在重大勒索软件攻击事件发生之后,人们对数据安全的需求更加敏感。问题在于许多员工不知道如何维护安全或不在乎。然而在大多数时候,这是因为员工认为绕过安全要求以完成工作是一种必要的或有用的措施。因此,首席信息安全官的部分工作是找出员工绕过安全措施的方式和原因,找到帮助他们完成工作的方法。并在企业内部灌输一种安全、好奇和关注的文化。
以上这些是企业可能在2022年面临的十大安全挑战。这些问题中的大多数都是难以解决的,而且必然会重演。