与内部和外部利益相关者沟通选择其他替代的通信方式;
与区域机构(例如政府、竞争对手以及行业组织)建立合作关系,制定新的、标准化的应急计划来处理互联网服务中断的问题;
评估通信提供商的应急计划;
为关键系统和服务寻找替代供应链模型;
ISF认为,在未来两年,网络犯罪分子将越来越多地将勒索软件攻击重点放在连接到物联网(IoT)的智能设备上。攻击者可以攻击特定的设备索要赎金,但ISF认为他们也会使用这些物联网设备作为跳板,进而入侵整个组织中的其他设备和系统再索要赎金。
这种攻击不仅会破坏业务运作和自动化生产线,一旦攻击者将攻击目标瞄准医疗设备或车辆,它带来的危害可能是致命的。
Durbin表示,联网设备的制造商需要与客户合作解决安全漏洞问题,所有企业都必须明确他们当前使用了哪些联网设备?未来计划增加哪些设备?以及如果一个或多个联网设备受到勒索软件攻击时会造成什么影响?
ISF建议您采取如下措施:
给制造商(例如通过行业机构)施压以确保将全面的安全功能构建到了设备之中;
与行业机构共同监管以确保物联网设备符合最基本的安全标准;
规定采购物联网设备的最低安全要求;
将与物联网相关的勒索软件场景并入企业的业务连续性规划中并进行常规模拟;
您的业务模式可能是高科技和数字化的,但是您的员工却存在于实体世界中,这使得他们成为敲诈勒索、恐吓和暴力威胁的受害者。ISF表示,在接下来的两年中,资金充足的犯罪组织将把其全球影响力和数字专长与真正的暴力威胁相结合,威胁拥有特权的内部员工泄漏关键信息资产(如财务细节、知识产权以及战略计划等)。
这些特权内部人员可能是高级业务经理或其他高管,也可能是这些人的个人助理、或系统管理员、基础设施架构师、网络支持工程师甚至是特定的外部承包商等。
为了保护自己免受这种威胁,ISF建议您采取如下措施:
明确您的关键信息资产以及拥有并能够访问这些信息的人员;
对拥有特殊访问权的个人采取特殊的防护措施,例如,物理安全防御措施指导、了解社会工程的相关手段和防御措施等;
制定防御机制,保护您的组织免受内部威胁,例如,筛选应聘人员并在雇佣合约中加入适当的条款;
Durbin说:“随着数据量的急剧增长,没有人能够真正做到绝对确保数据完整性的程度。企业可以通过主动手段来减少错误信息带来的影响:通过监控他人在网络上对企业发表的看法,以及跟踪内部信息的变化来提供预警信号。”
人工智能角色的发展使得各种机器人聊天室应运而生,攻击者能够使用这些聊天室来传播针对商业组织的虚假信息:攻击者并不会破坏目标组织的数字边界,而是传播有关目标组织工作实践或产品方面的虚假信息来破坏该组织的名誉。一个攻击者通常可以部署数百个聊天室,每个都可以在社交媒体或信息站点上传播恶意信息和谣言。
此类攻击不仅仅针对目标企业的名誉,同时还可以用来操作目标企业的股价。德国支付公司Wirecard AG发现,去年二月份,一份有关该公司“详细”欺诈活动的报告发布后(虽然报告后来被证明是假的),该公司的股价暴跌了三个月。
你无法阻止聊天机器人传播有关公司的虚假信息,但是及时识别威胁和制定事件响应计划可以减轻损害。
为了保护您的组织,ISF建议您执行以下操作:
将虚假信息传播纳入整体事件管理方案中;
在大型企业公告或信息发布前后扩大对社会媒体的监控;
结合行业机构的力量,请求政府和监管机构调查并起诉传播虚假信息的人;
组织越来越依赖数据推动决策的制定,这就意味着,犯罪分子和竞争对手可以将虚假信息纳入其威胁工具库中。ISF认为,在未来两年内,三种对信息完整性的攻击将变得司空见惯:
扭曲分析系统使用的大数据集;
操纵财务记录和报告,或银行账户的详细信息;
例如,对于一个公用事业单位而言,可以通过分析智能电表的数据来平衡其生成的电量与当前需求相匹配。如果攻击者操纵智能电表数据,使其显示出虚假的高需求量,就会导致发电量激增,而一旦供应大过需求太多就会导致供电电网出现故障。
虚假或篡改的数据还可能会对药物研究产生重大影响,现在,药物研究越来越多地转向大数据分析,以提升新药的建模和试用速度。而这些数据一旦被攻击者操纵将带来不可估计的后果。
为了预防这种威胁,ISF建议您采取以下措施:
采取措施验证和维护关键数据库的完整性;
将泄漏信息完整性的情景纳入公司业务风险评估中,让整个组织中的利益相关者衡量其业务影响;
与同行合作,分享有关信息完整性的威胁情报;
在公开提供任何事实证据对抗虚假信息之前,咨询法律专业人士意见;
关于什么是区块链技术,用通俗的话阐述就是,如果我们把数据库假设成一本账本,读写数据库就可以看做一种记账的行为,区块链技术的原理就是在一段时间内找出记账最快最好的人,由这个人来记账,然后将账本的这一页信息发给整个系统里的其他所有人。这也就相当于改变数据库所有的记录,发给全网的其他每个节点,所以区块链技术也称为分布式账本(distributed ledger)。
目前世界各地均在对其进行研究,并开始将其广泛应用于金融等各领域。Don Tapscott表示,到2019年,全球65%的顶级银行将实现大规模的区块链实践。
但是,Durbin指出,像其他任何技术一样,区块链也存在被攻击的危险。潜在的漏洞包括脆弱的加密和密钥管理、落后的编写程序、错误的权限许可以及业务规则不完善等问题。而且一旦区块链遭到破坏,受影响进程中的客户、高级管理层以及信任用户都将遭到损害,且需要大量的努力进行重建。
受损的区块链可能会导致未经授权的交易或数据泄漏、资产转移、欺诈甚至验证欺诈性交易等。
为了避免这种威胁,ISF建议您执行以下操作:
组织一个赞助商或指导委员会,广泛征求意见并决定是否采用区块链技术;
培训员工如何安全使用区块链技术,并检测可疑活动;
使用区块链来评估外部第三方的安全控制,例如,审核其安全控制强度(包括加密密钥的管理和访问控制措施等);
与行业机构和专家交流,制定良好的安全事件准则;
咨询法律专业人士了解使用区块链技术的合同含义;
在基于区块链的应用程序的设计、实现和操作过程中纳入信息安全的要求;
尽管这些因素都不是你能直接控制的,但是业务和安全领导者可以通过进行风险评估,与通信供应商进行公开谈判来预防这些威胁,并咨询法律顾问充分了解新法规的影响,组建一批顺应先进技术要求的劳动力。
一些政府已经开始制定监管法,要求通信供应商收集并存储与电子和信息通信相关的数据,ISF预计未来两年这种趋势将会持续。
这类立法的目的可能是为了识别和监控恐怖分子和其他相关团体的活动,但是这些数据收集不可避免地会涉及一些机密信息,包括各组织机构的敏感数据等。
ISF注意到,攻击者也已经注意到这些数据的价值,并了解从哪里以及如何能够获取到这些数据。这些数据可能涉及并购计划、正在开发的知识产权以及新产品的细节等信息。
为保护您的组织,ISF建议您采取以下措施:
开展组织协作进行风险评估,以了解通信供应商丢失元数据会造成的影响;
与通信供应商沟通,确定责任承担事宜并确定元数据安全存储的最低要求;
根据McAfee在2015年发布的一项研究显示,该年度有43%的数据泄露是由内部人员造成的,包括用户、经理、IT专业人员和承包商。由此以来也促使用户行为分析(UBA)工具变得越来越受欢迎:Market And Markets Research 2016年发布的一份报告预测称,UBA工具的销售额将从2016年的1.137亿美元增长到2021年的9.083亿美元,增长近600%。
但ISF表示,新的隐私条例——如欧盟GDPR、韩国个人信息保护法(PIPA)、香港个人隐私条例以及新加坡个人资料保护法等的出台,限制了这些工具的使用。法规明确要求雇主必须公开监控用户行为所使用的工具。Durbin指出,透明度和创造信任文化虽好,但这些规定将帮助恶意内部人员摆脱UBA工具监控。
为了解决内部威胁和新法规的冲突,ISF建议您采取以下措施:
使员工了解内部人员风险,并对其进行培训以识别可疑行为;
AI系统是自动化方面的重大创新,独立的学习能力将使它们能够从制造到营销和咨询等各领域自动化吸收日益复杂且不重复的任务。但是,Durbin指出,AI现在还正处于探索发展的阶段,可能会存在很多错误:例如,从错误或不完整的信息中学习可能会得出不准确的结论。
而一旦这些结论运用到可能影响组织名誉和业务的环境中,就会造成无法预计的后果,例如:智能助手一旦读取了错误的对话或误解指令,就会导致订单处理失误等后果。
为了保护您的组织免受此威胁,ISF建议您采取以下几个步骤:
进行组织协作以确定部署AI将对哪些领域产生效益;
招募、培养并留住掌握AI系统技能的人才;
与行业同仁和学术机构合作,开发部署AI系统的最佳实践;
更新管理结构来有效地管理AI系统,例如,将安全性纳入到设计流程中,对AI系统做出的决策进行监督,确保发生严重事故时可以手动关闭系统。
