每年的岁末年初,通常都是回顾和展望行业发展的时刻。尽管多年来信息安全在工具、技术、培训和意识方面取得了巨大进步,但仍然存在重大挑战。以下是行业专家对2022年信息安全面临的主要挑战的预测。其中一些是长期存在的问题,一些正在出现。以下是人们在2022年可能面临的十大安全挑战:1.文件保留政策人们常常忘记数字安全首先是信息管理。一切都与数据有关。归根结底,数据安全的目标是确保正确的信息(具有完整性)到达正确的人并且不会流到其他地方。在大多数情况下,这意味着要做非常困难的事情。这意味着映射数据流(而不是网络)。人们需要知道什么数据在哪里,应该去哪里,以及备份和存储在哪里。它还意味着了解数据如何在系统中流动;它流向何处,通过哪些网络和设备以及如何存储(永久和临时)。还有一个问题是,大多数创建的数据(电子邮件)可能会在第三方或通过第三方存储或传输,或者可能会发送给第三方,第三方可能会自行重新传输数据或将其合并到数据流中的其他数据中。映射数据流之后,下一步就是对数据进行分类。什么是机密数据?什么是公共数据?从保密的角度来看,哪些数据是关键的(如果数据被泄露,企业或第三方会发生什么)?从数据完整性(例如财务披露)的角度看,哪些数据是关键的?从可用性的角度来看,哪些数据是至关重要的(例如植入式起搏器)?从数据安全的角度来看,这只是数据分类。然后还必须从数据保留和数据销毁的角度对数据进行分类。需要保存多长时间?它是如何保存的?它必须保存在哪里?数据可以导出吗?可以删除吗?很难回答和解决,因为人们倾向于保留数据。这意味着将数据从一个地方移动到另一个地方-移动到拇指驱动器、硬盘驱动器或移动设备上,然后通过电子邮件将其发送到您自己的邮箱。然而,人类也很懒惰,因为花费数小时浏览文档和电子邮件并对其进行“分类”几乎没有什么可观的效用,因此您最终会得到大量从未分类且从未删除的数据。或者更准确地说是大量数据。人们没有很好的工具来自动分类数据并自动删除它。如果确实存在这样的工具,它也可能成为黑客和欺诈者的强大工具。所以,这是一个挑战。2.保险多年来,网络保险一直以一种或另一种形式存在。随着勒索软件攻击事件(以及与之相关的索赔)的增加,保险公司正在通过更加有选择性地选择承保对象和承保内容来做出回应,要求潜在保险公司采取某些行动作为注册的先决条件,并提高保费,以便某些损失得到补偿排除在覆盖范围之外。他们还采取了一种狭隘的防御姿态,否认索赔。示例包括与被勒索软件“损坏”的文件相关的索赔,而保险公司认为这些文件实际上并未“损坏”。此外,保险公司还与数字取证和调查公司以及网络律师事务所合作,为降低风险、风险缓解、风险转移和事件响应提供“一站式服务”。2022年的挑战是确保保险本身和保险市场能够应对数字市场带来的真正威胁和挑战。欺诈性电汇、供应链中断、第三方责任、商业信誉管理和加密货币损失都是大多数企业保险单可能不足以应对的新威胁。此外,随着网络保险价格上涨,许多中小企业被排除在保险市场之外。最后,当前的商业网络保险市场可能不足以解决两个相关问题:系统供应链(第三方)索赔和与民族国家发起的网络攻击相关的索赔。现在可能是政府介入以确保网络保险政策合理全面且负担得起的时候了。所以这仍然是一个挑战。3.勒索软件勒索软件仍然是企业面临的重大挑战,不仅因为它无处不在,还因为勒索软件攻击可能自上而下对企业的合作伙伴或客户产生重大影响。与以往窃取数据然后利用或出售数据的黑客不同,勒索软件攻击者依靠受害者支付赎金,而不是在窃取数据后四处寻找买家,而是将数据出售(或只是访问)给受害者。或他们自己。随着通过加密货币进行的匿名支付流程的盛行,勒索软件攻击者可能会针对特定的企业、行业、计算机或数据库,或者可能只针对特定的目标。针对勒索软件的防御是复杂且不完整的——无论是入侵防御、网络分段、数据备份和恢复,还是高级事件响应(包括支付)。4.供应链出于多种目的,行业专家对“供应链”的定义非常宽泛。企业的供应链是企业关键数据、流程或服务所依赖的任何事物。软件可以有关联的供应链,硬件也可以。硬件、服务、人员等都是供应链的一部分。当人们笼统地谈论“供应链安全”或“供应链弹性”时,他们实际上是在谈论检查所有的依赖性和相互依赖性,并提出尖锐的问题,比如“你怎么知道这个产品或服务来自哪里?”如果数据不可用会怎样?如果云不安全怎么办?如果数据无法访问怎么办?”供应链难以理解,而且越来越难以管理。由于存在如此多的相互依赖关系,任何实体的安全性和弹性都取决于它所依赖的任何和所有硬件、软件、人员、流程等的安全性和弹性。虽然第三方审计、数据保护协议和标准都可以提供帮助,但问题很复杂并且可能会持续存在。5.多因素认证当人们谈到认证时,通常是指被“授权”访问数据、计算机、网络或进程的人是否是被允许的人,以及他们访问和使用它是否是为了目的他们允许哪些数据?传统上,“身份验证”一直被用作授权的代理,方法是向受让人提供某种形式的凭据,然后提供这些凭据以建立授权。在来回传输凭据的过程中,可能会出现漏洞,包括中间人(MiTM)攻击、欺骗、凭据盗窃等。此外,强身份验证是强隐私的诅咒,因为经过强身份验证的个人无论走到哪里和做什么,都可以通过他们的凭据进行跟踪。人们可以而且将会在身份验证方案方面做得更好,但由于身份验证的强大功能,它通常是最普遍的攻击目标。这是一个困难而持久的问题,这就是为什么它是一个重大挑战。6.数据保护协议供应链问题的必然结果是边界问题。企业通常只能解决他们所依赖的基础设施的一小部分。他们的邮件由第三方云计算提供商提供。他们的销售、基础设施、计费、发票、人力资源等也是如此,他们聘请顾问、独立销售代表、律师、供应商等;他们每个人都可以访问数据、网络、计算机等。对于企业直接控制之外的任何数据或过程,第三方可能被迫“做某事”来保护他们的数据。有时,通知数据泄露只是一项义务。遵守某些数据隐私或数据安全标准的义务。这些协议就像一个滴答作响的定时炸弹,直到其中一家公司遭受数据泄露或其他事情,并且他们因违约而被起诉。此外,企业认为第三方已签署他们以保护公司数据这一事实意味着他们是无辜的。因此,企业需要关注数据保护协议的问题。7.国际数据隐私法规随着人们开始就数据隐私原则(有限收集、同意、合法使用、数据生命周期、被遗忘权等)达成一致,数据隐私法律法规变得越来越复杂和难以实施遵守。隐私监管的另一个问题是,互联网已经变得依赖于缺乏数据隐私——Facebook、谷歌、亚马逊、苹果等大型科技公司依赖于收集和分析大量数据,而大量的为这些公司带来巨大价值和利益的个人数据。数据隐私法规的问题在于,人们希望通过让第三方为他们收集有关他们的数据来获得隐私和实用性。8.远程工作/远程访问如果大流行教会了人们一件事,那就是远程工作正在兴起。远程工作、远程访问和一些支持远程工作的工具的爆炸式增长在人与数据之间造成了物理上的脱节。可以随时随地访问数据。这种脱节为黑客、欺诈者和其他人创造了攻击数据和网络的机会。随着人们需要更多的远程服务(例如远程医疗)并需要远程工作的能力,问题只会变得更糟。9.人员短缺一些企业缺乏良好的安全措施,部分原因在于工作本身的性质。优秀的安全人员遵循复杂的规则,知道如何与他人联系并分享他们的见解,是“团队成员”,可以在没有任何监督的情况下工作数小时或数天。他们本质上是黑客,但从不做黑客所做的事情。难怪组织很难招聘和激励优秀的安全人员。10.安全意识一些公司表示他们对员工进行了广泛的安全培训。但实际上,员工只参加了一个简短的安全培训课程,然后是年度进修课程。这是苦差事,通过率通常为75%到80%,这意味着他们有25%的机会出错,但仍能通过安全培训。然而,在许多情况下,员工要么是抵御网络攻击的第一道防线,要么是此类攻击的推动者。通常,这两种情况同时存在。组织必须找到超越安全培训和加强安全文化的方法。当然,在发生重大勒索软件攻击之后,对数据安全的需求更加迫切。问题是许多员工不知道如何维护安全或不关心。然而,大多数时候,这是因为员工认为绕过安全要求来完成工作是必要或有用的措施。因此,CISO的部分工作是找出员工绕过安全措施的方式和原因,并找到帮助他们完成工作的方法。并在企业中灌输一种安全、好奇和关心的文化。这些是企业在2022年可能面临的十大安全挑战。这些问题中的大多数都是棘手的并且必然会再次发生。
