五大信息安全威胁趋势 威胁将更复杂精密.doc

山丽网安：2015五大信息安全威胁趋势 威胁将更复杂精密 信息安全危机四伏的2014年已然快要过去，但是即将迎接我们的2015年安全威胁依然将全面肆虐，甚至在新的一年里，网络犯罪活动会变得更加的复杂。为了预防和抵抗2015年我们即将遭遇的安全威胁，我们有必要事先对这些问题作深入的了解以便采取预防措施。那么下面信息安全方面的专家山丽网安就带大家一起去了解2015年五大将占据主导地位的安全威胁趋势。 1.网络犯罪 互联网已经成为一片吸引力越来越大的犯罪分子、激进分子乃至恐怖分子的淘金地，他们在这里通过各种非法手段赚取收益，甚至包括通过在线攻击活动中断甚至导致企业及政府业务全面停机。 当下网络犯罪活动主要由前苏联各成员国所发起。这些国家拥有水平极高的相关技能并配备高度现代化工具，他们通常会利用二十一世纪工具冲击于二十世纪构建而成的系统。 “2014年，我们发现网络犯罪活动显示出更高级别的协作水平与更令人担忧的技术层级，而很多大型组织机构还完全没有意识到这一点，”信息安全论坛常务董事Durbin指出。 “2015年，企业必须为预期之外的安全问题做好准备，从而保证自身有能力承受无法预料且影响极大的相关事故，”他进一步补充称。“随着网络规模的持续增长、合规性保障的必要成本不断提升以及针对现有安全保护措施的攻击技术投入的进一步加大，网络犯罪活动将掀起一股安全威胁新高潮。企业需要对业务依赖性关系做出更为明确的定性，从而更好地实现业务用例的弹性投资量化效果，最终最大程度削减意外状况带来的实际影响。” 2.隐私与监管 大部分政府机关已经创建出或者正在逐步创建相关规章制度，旨在保证个人可识别信息(简称PII)资产的维护与使用，而未能确切遵循相关要求并对上述信息加以保护的组织则面临着遭受惩罚的风险。有鉴于此，Durbin指出，组织需要将隐私作为一项合规性与业务风险问题进行考量，从而减少监控制裁以及各类业务成本——例如企业信誉受损以及因隐私侵犯导致的客户流失状况。 而全球范围内不同区域所采取的监管机制在彼此结合与杂糅之后，也很可能在2015年让企业面临更为沉重的安全保障性负担。 “我们发现已经有越来越多的监管性计划开始将信息收集、存储以及使用机制同针对数据丢失与泄露通知所采取的惩罚性手段结合在一起，此类情况在欧盟地区表现得尤其明显，”Durbin表示。“希望这一趋势能够得到进一步持续与发展，从而在安全效能之外，从法规、人力资源以及中层管理角度对安全监督加以强化。” 他还补充称，企业应当关注欧盟对于数据泄露法规与隐私保护制度视为基准性参考标准，并据此组织起相应的安全规划。 “监管机构与政府部门正积极参与其中，”他指出。“而这给企业带来了更为沉重的负担。企业需要为此配备更为丰富的应对性资源，并需要深入了解安全态势的发展状况。如果大家所在企业中已经聘请了内部法律顾问，那么他们发挥作用的时候就是现在。如果还没有聘请此类人员，则需要尽快将其纳入成本规划。” 3.来自第三方供应商的安全威胁 供应链是每一家企业在全球性业务运营体系当中的重要组成部分，甚至已经成为全球经济体验中的支柱与主干。然而正如Durbin所言，安全事务负责人们已经开始越来越多地关注自身企业在面对无数风险因素时的开放程度。供应商往往能够共享到一系列有价值甚至是敏感性信息，而在信息处于共享状态时、与之相关的直接控制机制也将失去效力。这无疑将导致信息在保密性、完整性以及可用性等层面面临更为严重的安全风险。 即使是看似无害的连接也可能充当着攻击活动的实质性引导角色。攻击Target的犯罪分子就是利用该公司HVAC供应商用于提交发票信息的的Web服务应用程序实施恶意活动的。 “在未来一年中，第三方供应商将进一步面临来自针对性攻击活动的威胁压力，而且很可能无法保障其所涉及数据的机密性、完整性以及/或者可用性，”Durbin表示。“各类规模的企业都需要认真考量供应商带来负面意外状况的可能性，其中具体涉及知识产权、客户或员工信息、商业计划或者谈判内容等等。而这类思路对于负责制造或者分发的合作伙伴也同样适用。我们还应将专业服务供应商、律师以及会计人员视为潜在高风险群体，因为他们往往也能轻松访问到最具价值的数据资产。” Durbin补充称，信息安全专家应当与负责按照合约提供服务的供应方保持更为紧密的合作关系，并从尽职性调查的角度出发对潜在威胁进行彻底排查。 “当务之急在于，企业需要构建起稳固的业务持续性规划、从而改善相关弹性并提振高管团队对于功能交付能力的信心，”他指出。“一套结构良好的供应链信息风险评估方案能够提供详尽的分步式实施方法，从而将艰巨的项目管理工作拆分成一个个易于完成的步骤性目标。此类方案应该由信息驱动而非以供应商为中心，因此能够在不同企业环境下具备可扩展能力与可重复利用特性。” 4.办公环境中的BY