2016至2018年的几大信息安全威胁

信息安全论坛是一个非营利性的组织，该组织的安全研究专家和分析人员每一年都会对当前信息安全领域中的安全威胁和风险管理问题进行讨论，并且还会对将来可能的信息安全威胁进行预测。近期，该组织发表了“Threat Horizon”报告，并在报告中对今后两年间最严重的信息安全威胁进行了预测。接下来，我们将会在本文给大家介绍从现在起至2018年间的几大信息安全威胁。

Threat Horizon报告

目前，信息安全这一领域正在蓬勃发展，而信息安全威胁也正在不断地变得更加的复杂和多变。为了能够让大家更加了解目前信息安全的发展状况，信息安全论坛（ISF）这一非营利性的组织每一年都会对当前的信息安全威胁和风险管理问题进行分析和讨论，并通过Threat Horizon报告来向该组织的会员提供一个具有前瞻性的观点，并对接下来两年间的信息安全威胁进行预测。接下来，我们将会给大家介绍2016年至2018年间的几大信息安全威胁，各大组织和机构也许将会需要面对和处理这些安全风险因素。

主题一：各类新型技术的广泛使用扩大了安全威胁的影响范围

信息技术已经成为了现社会生活中不可或缺的一个重要组成部分。ISF预计在未来的两年内，无论是对企业还是个人来说，信息技术都将会全面覆盖我们的日常工作和生活。ISF的高层管理者Steve Durbin认为：“从本质上来说，我们现在所做的一切都极其地依赖于技术。当然了，各大组织和机构也逐渐开始意识到了这一点，他们需要去探索如何才能最大程度地去发挥这种特殊发展趋势对企业所带来的正面影响，而不是一味地放弃和阻拦。”但是Durbin还表示，随着各大企业利用技术来最大程度地提升了企业运行效率，这也就意味着他们还需要对相关的安全威胁进行处理，而且采用的信息技术越多，需要面对的安全威胁因素范围也就更广。

物联网设备泄漏敏感信息

物联网设备正在迅速发展，而且实时数据采集的价值也变得越来越明显。除了对昂贵的工业设备进行优化，对正常运行设备的流量监控，实时采集设备健康信息，物联网设备还有很多其他的用途。毫无争议的是，各大组织和个人目前都在使用物联网设备。但是，用来采集数据的设备并不一定是安全的，而且设备中很有可能会存在后门。各大组织和个人也许并不了解物联网系统中那些模糊的隐私条款，这也就使得组织可以使用客户的个人数据，但实际上客户并不希望这样的事情发生。ISF所提供的建议如下：

－在网络中添加物联网设备之前，确保相应的安全保护措施已经配置妥当。

－在部署物联网设备之前，先获得数据收集的许可，并且还需要考虑设备需要收集哪种信息，以及这些信息是否可以被共享。

－确保使用用户数据相关的条款是透明的，并且符合法律的规定。

－检查物联网设备的安全性，而不是将设备从网络中隔离开。

算法透明度的问题

现在，各大组织和机构逐步开始使用各类算法来进行操作了，而且还会在关键系统中利用算法来作出决策（例如自助停车系统和自动交易系统）。由于这些决策系统中并不需要人类的参与，所以组织也许并不了解他们的系统到底是如何工作的。Durbin认为，系统如何缺乏一定的透明度，那么将会带来非常严重的安全风险。而且我们现在会将很多算法引入工业控制系统和关键基础设备，如果我们不了解这些算法，那么将会带来非常严重的影响，这也是我们目前亟待解决的问题。ISF所提供的建议如下：

－更新代码维护策略。

－识别算法控制系统，并对系统进行一定程度的人工干预。

流氓政府利用恐怖组织来发动网络攻击

现在，有的流氓政府已经开始支持和资助恐怖分子的相关恐怖主义行动了，这也就使得他们的秘密行动更加具有隐蔽性。ISF认为在未来的两年内，这种支持还将涉及到网络攻击能力（例如网络知识，培训，软件和硬件等）， 目的就是为了利用恐怖组织来对其他国家的基础设施或机构进行攻击。这样一来，这些恐怖组织所带来的影响将会远远超过之前那些黑客组织所带来的影响。ISF所提供的建议如下：

－调整风险管理步骤，并加强这方面的安全保护措施。

－对现有的安全防护设备进行审查，并提升设备的性能。

－探讨威胁情报共享的可能性，并尝试与政府和组织合作一同抵抗这类安全威胁。

主题二：安全保护能力的下降

Durbin表示，各大企业所建立的信息安全风险管理办法将会被各种各样的恶意攻击者所破坏。而且在将来，会有更加多的网络攻击事件发生，这也会使得技术人员忙得不可开交。

企业高层的安全意识问题

在过去的几年中，ISF警告称，各大组织和机构的高层管理人员并没有意识到信息安全的价值所在，而这是一个非常重要的影响因素。但是现在，一切都改变了。各大公司的高层已经开始逐步增加信息安全方面的开支预算了，而且他们也希望看到立竿见影的效果。安全问题已经提上了日程，而且已经变成了一个首先需要考虑的问题了。但是公司高层不理解的是，即使公司当前所采用的安全防护措施足够的强大，但是信息安全方面实质性的改变仍然是需要一定的时间的。ISF所提供的建议如下：

－定期向企业高层提供安全风险报告。

－根据企业信息安全部门高层管理者对企业安全方面的期望来进行安全功能改进。

－从那些已经在信息安全方面取得成功的商业伙伴身上学习。

安全研究人员隐藏安全漏洞的信息

现在，在所有的主要部门中，软件正在逐步取代硬件设备。安全研究人员经常会发现安全漏洞，并且会将漏洞信息公布出来以提升设备的安全性能。但是，生产商也却以法律诉讼的形式来对这一行为进行回应，因为他们并不想与安全研究人员合作来修复相应的漏洞。ISF认为，在接下来的两年中，这种趋势将会变得更加的普遍。

由于篇幅有限，如果大家对这些安全威胁因素感兴趣的话，请阅读原文。