在信息安全領(lǐng)域，2014年已經(jīng)成為極不平凡的一年——網(wǎng)絡威脅與數(shù)據(jù)泄露等事故以幾乎永無止境之勢一波波襲來，給零售業(yè)、銀行業(yè)、游戲網(wǎng)絡以及政府機關(guān)等行業(yè)造成巨大沖擊。

　　雖然2014年即將走向終點，但我們可以預計埡網(wǎng)絡威脅在規(guī)模、嚴重程度以及復雜性等方面勢必有增無減，信息安全論壇(簡稱ISF)常務董事Steve Durbin指出——這是一家專門為其成員提供安全性評估與風險管理問題解決方案的非營利性協(xié)會。

　　展望步步走來的2015年，Durbin表示ISF為接下來的一年整理出五大將占據(jù)主導性的安全發(fā)展趨勢。

　　Durbin解釋稱，“對我來說，安全問題本身并不會出現(xiàn)顛覆性的全新變化，新形勢主要表現(xiàn)在此類威脅的復雜性與精密程度方面?！?

　　1.網(wǎng)絡犯罪

　　互聯(lián)網(wǎng)已經(jīng)成為一片吸引力越來越大的犯罪分子、激進分子乃至恐怖分子的淘金地，他們在這里通過各種非法手段賺取收益，甚至包括通過在線攻擊活動中斷甚至導致企業(yè)及政府業(yè)務全面停機

　　當下網(wǎng)絡犯罪活動主要由前蘇聯(lián)各成員國所發(fā)起。這些國家擁有水平極高的相關(guān)技能并配備高度現(xiàn)代化工具——正如Durbin所指出，他們通常會利用二十一世紀工具沖擊于二十世紀構(gòu)建而成的系統(tǒng)。

　　“2014年，我們發(fā)現(xiàn)網(wǎng)絡犯罪活動顯示出更高級別的協(xié)作水平與更令人擔憂的技術(shù)層級，而很多大型組織機構(gòu)還完全沒有意識到這一點，”Durbin指出。

　　“2015年，企業(yè)必須為預期之外的安全問題做好準備，從而保證自身有能力承受無法預料且影響極大的相關(guān)事故，”他進一步補充稱。“隨著網(wǎng)絡規(guī)模的持續(xù)增長、合規(guī)性保障的必要成本不斷提升以及針對現(xiàn)有安全保護措施的攻擊技術(shù)投入的進一步加大，網(wǎng)絡犯罪活動將掀起一股安全威脅新高潮。企業(yè)需要對業(yè)務依賴性關(guān)系做出更為明確的定性，從而更好地實現(xiàn)業(yè)務用例的彈性投資量化效果，最終最大程度削減意外狀況帶來的實際影響?！?

　　2. 隱私與監(jiān)管

　　大部分政府機關(guān)已經(jīng)創(chuàng)建出或者正在逐步創(chuàng)建相關(guān)規(guī)章制度，旨在保證個人可識別信息(簡稱PII)資產(chǎn)的維護與使用，而未能確切遵循相關(guān)要求并對上述信息加以保護的組織則面臨著遭受懲罰的風險。有鑒于此，Durbin指出，組織需要將隱私作為一項合規(guī)性與業(yè)務風險問題進行考量，從而減少監(jiān)控制裁以及各類業(yè)務成本——例如企業(yè)信譽受損以及因隱私侵犯導致的客戶流失狀況。

　　而全球范圍內(nèi)不同區(qū)域所采取的監(jiān)管機制在彼此結(jié)合與雜糅之后，也很可能在2015年讓企業(yè)面臨更為沉重的安全保障性負擔。

　　“我們發(fā)現(xiàn)已經(jīng)有越來越多的監(jiān)管性計劃開始將信息收集、存儲以及使用機制同針對數(shù)據(jù)丟失與泄露通知所采取的懲罰性手段結(jié)合在一起，此類情況在歐盟地區(qū)表現(xiàn)得尤其明顯，”Durbin表示?！跋Ｍ@一趨勢能夠得到進一步持續(xù)與發(fā)展，從而在安全效能之外，從法規(guī)、人力資源以及中層管理角度對安全監(jiān)督加以強化?！?

　　他還補充稱，企業(yè)應當關(guān)注歐盟對于數(shù)據(jù)泄露法規(guī)與隱私保護制度視為基準性參考標準，并據(jù)此組織起相應的安全規(guī)劃。

　　“監(jiān)管機構(gòu)與政府部門正積極參與其中，”他指出?！岸@給企業(yè)帶來了更為沉重的負擔。企業(yè)需要為此配備更為豐富的應對性資源，并需要深入了解安全態(tài)勢的發(fā)展狀況。如果大家所在企業(yè)中已經(jīng)聘請了內(nèi)部法律顧問，那么他們發(fā)揮作用的時候就是現(xiàn)在。如果還沒有聘請此類人員，則需要盡快將其納入成本規(guī)劃。”

　　3.來自第三方供應商的安全威脅

　　供應鏈是每一家企業(yè)在全球性業(yè)務運營體系當中的重要組成部分，甚至已經(jīng)成為全球經(jīng)濟體驗中的支柱與主干。然而正如Durbin所言，安全事務負責人們已經(jīng)開始越來越多地關(guān)注自身企業(yè)在面對無數(shù)風險因素時的開放程度。供應商往往能夠共享到一系列有價值甚至是敏感性信息，而在信息處于共享狀態(tài)時、與之相關(guān)的直接控制機制也將失去效力。這無疑將導致信息在保密性、完整性以及可用性等層面面臨更為嚴重的安全風險。

　　即使是看似無害的連接也可能充當著攻擊活動的實質(zhì)性引導角色。攻擊Target的犯罪分子就是利用該公司HVAC供應商用于提交發(fā)票信息的的Web服務應用程序?qū)嵤阂饣顒拥摹?

　　“在未來一年中，第三方供應商將進一步面臨來自針對性攻擊活動的威脅壓力，而且很可能無法保障其所涉及數(shù)據(jù)的機密性、完整性以及/或者可用性，”Durbin表示?！案黝愐?guī)模的企業(yè)都需要認真考量供應商帶來負面意外狀況的可能性，其中具體涉及知識產(chǎn)權(quán)、客戶或員工信息、商業(yè)計劃或者談判內(nèi)容等等。而這類思路對于負責制造或者分發(fā)的合作伙伴也同樣適用。我們還應將專業(yè)服務供應商、律師以及會計人員視為潛在高風險群體，因為他們往往也能輕松訪問到最具價值的數(shù)據(jù)資產(chǎn)?！?

　　Durbin補充稱，信息安全專家應當與負責按照合約提供服務的供應方保持更為緊密的合作關(guān)系，并從盡職性調(diào)查的角度出發(fā)對潛在威脅進行徹底排查。

　　“當務之急在于，企業(yè)需要構(gòu)建起穩(wěn)固的業(yè)務持續(xù)性規(guī)劃、從而改善相關(guān)彈性并提振高管團隊對于功能交付能力的信心，”他指出?！耙惶捉Y(jié)構(gòu)良好的供應鏈信息風險評估方案能夠提供詳盡的分步式實施方法，從而將艱巨的項目管理工作拆分成一個個易于完成的步驟性目標。此類方案應該由信息驅(qū)動而非以供應商為中心，因此能夠在不同企業(yè)環(huán)境下具備可擴展能力與可重復利用特性?！?

　　4.辦公環(huán)境中的BYOx趨勢

　　“自帶xx(即BYOx)”趨勢已經(jīng)客觀存在，無論企業(yè)或組織是否認同，Durbin表示，而且就目前來看、幾乎沒有多少企業(yè)能夠真正就此開發(fā)出良好的指導性政策方案。

　　“隨著員工不斷將自有移動設備、應用程序、基于云環(huán)境的存儲機制以及辦公環(huán)境訪問機制引入企業(yè)環(huán)境，各類規(guī)模的組織逐漸發(fā)現(xiàn)防范信息安全風險的工作難度已經(jīng)達到前所未有的新高度，”他指出?！按祟愶L險貫穿企業(yè)內(nèi)部與外部，包括設備本身管理不善、針對軟件漏洞的外部利用以及未經(jīng)嚴格測試且非可靠性業(yè)務應用的部署等等?！?

　　他同時指出，如果大家發(fā)現(xiàn)目前所在企業(yè)中的BYOx類風險過高，則至少需要確保對事態(tài)的進一步發(fā)展保持關(guān)注與了解。如果大家認為此類風險尚在可接受范圍之內(nèi)，那么以此為基礎建立一套具備良好架構(gòu)的BYOx實施方案也未嘗不可。

　　“請記住，如果實施手段存在問題，那么辦公環(huán)境下的個人設備戰(zhàn)略很可能面臨著意外泄露事故的侵擾，其中包括工作與個人數(shù)據(jù)邊界模糊以及大量業(yè)務信息由未受保護的消費級設備所保存及訪問，”他補充稱。

　　Durbin同時指出，實際上我們做好應對最差情況的準備，即在制定反BYOx管理政策的情況下、用戶仍然想盡一切辦法利用自有設備處理日常工作。

　　“這有點像嘗試阻扼浪潮涌動，”他表示?！半m然用一點沙子就能暫時擋住其沖擊，但水流總能找到突破的方式。用戶的力量在現(xiàn)代辦公環(huán)境下實在太過巨大?！?

　　5. 致力于人為因素的控制

　　談到這一話題，我們就不能不提每家企業(yè)當中規(guī)模最龐大的資產(chǎn)兼且最為脆弱的目標：人。

　　在過去幾十年中，企業(yè)已經(jīng)花費成百上千萬、甚至數(shù)十億美元推動信息安全意識的普及工作。Durbin指出，這種作法的深層理由在于，企業(yè)意識到人作為業(yè)務活動中基本要素的巨大影響能力，并希望利用此類方案改變其行為方式、從而依靠每一位員工對于職責及正確實踐方式的認知對抗各類潛在安全風險。

　　不過殘酷的事實已經(jīng)并仍在不斷證明，這種價值主張根本無從實現(xiàn)，Durbin強調(diào)稱。相反，企業(yè)需要以更為積極主動的安全態(tài)度調(diào)整自身業(yè)務流程，將員工由風險根源轉(zhuǎn)化為企業(yè)安全事務中的第一道強大防線。

　　“隨著2015年的逐漸來臨，企業(yè)需要轉(zhuǎn)變思維、由以往的問題發(fā)現(xiàn)轉(zhuǎn)化為創(chuàng)建對應解決方案并將能夠切實消減風險程度的信息安全保障手段融入其中，”Durbin表示?！帮L險真實存在，因為人們的實際表現(xiàn)仍是個‘未知數(shù)’。很多企業(yè)已經(jīng)意識到人力是其規(guī)模最為龐大的資產(chǎn)類型，而大部分員工仍然無法清醒意識到‘人為因素’在信息安全領(lǐng)域中的重要地位。從本質(zhì)角度看，人為因素應當是一家企業(yè)強大控制體系中的重要甚至核心組成部分?！?

　　“相對于單純要求員工了為相關(guān)信息安全負責并掌握應對措施，各類規(guī)模企業(yè)真正該做的是引入積極的信息安全控制手段，從而將‘三思而后行’作為組織中信息安全文化中的一大良好習慣與立足根基，”Durbin指出?！氨M管多數(shù)企業(yè)都擁有現(xiàn)成的合規(guī)性實施方案，但‘安全意識’的缺失往往使其無法切實起效。真正的商業(yè)性驅(qū)動力應該在于風險本身以及如何利用新型應對方式降低此類風險?！?