信息來源：51CTO

每天都有新聞報(bào)道描述著新技術(shù)對人們的生活和工作方式帶來的巨大乃至壓倒性影響。諸如人工智能(AI)和物聯(lián)網(wǎng)(IoT)等術(shù)語正在迅速成為日常用語，而且無論人們喜歡與否，有關(guān)它們的部署計(jì)劃將于未來幾年在商業(yè)領(lǐng)袖們的議程上占據(jù)重要位置。

有關(guān)網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的頭條新聞也是日益頻繁。攻擊者可謂無處不在：企業(yè)外部充斥著黑客、有組織的犯罪團(tuán)體以及民族國家網(wǎng)絡(luò)間諜，他們的能力和蠻橫程度正日漸增長;企業(yè)內(nèi)部是員工和承包商，無論有意與否，他們都可能是造成惡意或意外事件的罪魁禍?zhǔn)住?

對于前進(jìn)的方向，企業(yè)領(lǐng)導(dǎo)人總是會感到不確定。但這種困境往往是非常容易判斷的：他們是應(yīng)該急于采用新技術(shù)，以便在出現(xiàn)問題時(shí)大幅降低風(fēng)險(xiǎn)，或是選擇等待并由此可能失去有力的競爭地位在?這種抉擇應(yīng)該很明確吧!

新的攻擊將影響企業(yè)的商業(yè)信譽(yù)和股東價(jià)值，且網(wǎng)絡(luò)風(fēng)險(xiǎn)存在于企業(yè)的各個(gè)方面。在前不久舉行的信息安全論壇上，最新發(fā)布了主題為《威脅展望2020》的報(bào)告，為互聯(lián)網(wǎng)世界將面臨的新興威脅給出了前瞻性預(yù)測。在《威脅展望2020》中，研究了未來兩年信息安全即將面臨的九大安全威脅，下面讓我們一起了解一下這些威脅的具體內(nèi)容，及其將會對企業(yè)或機(jī)構(gòu)造成何種影響：

1. 網(wǎng)絡(luò)攻擊與物理攻擊結(jié)合 危及生命摧毀商業(yè)

物理和網(wǎng)絡(luò)攻擊將同時(shí)部署，造成前所未有的破壞。許多民族國家行為者和恐怖組織(或兩者共同努力)將有能力匯集其全部武裝力量(包括傳統(tǒng)的和數(shù)字的)，來實(shí)施“混合”攻擊。如果攻擊成功，勢必將造成大規(guī)模的損害。

其中，首當(dāng)其沖的將是電信服務(wù)和互聯(lián)網(wǎng)連接，從而導(dǎo)致個(gè)人和組織與外界隔絕。由于基本的物理和數(shù)字基礎(chǔ)設(shè)施將會崩潰，所以應(yīng)急服務(wù)以及地方和中央政府的援助將會變得異常緩慢或者根本就不存在。

這些攻擊的目的是制造最大范圍的混亂、恐懼和擔(dān)憂。受災(zāi)的城市將陷入癱瘓，危及生命及企業(yè)運(yùn)營安全。在家的人不能也不愿意去上班，或是沒有電力和通信支持其在家工作。那些已經(jīng)在辦公室里的人也會被困在這個(gè)無處可逃的地方，因?yàn)楣魰母鱾€(gè)角度襲擊他們?，F(xiàn)存的業(yè)務(wù)連續(xù)性計(jì)劃將毫無用處;當(dāng)每個(gè)系統(tǒng)都處于故障狀態(tài)，而個(gè)人生命也處于危險(xiǎn)之中，他們將沒有能力也沒有精力準(zhǔn)備應(yīng)對可能發(fā)生的事件。人們會恐慌，工作議程也將取消。

2. 衛(wèi)星事故將造成地面陷入混亂

受損的衛(wèi)星信號，無論是被惡意對手欺騙還是與其他衛(wèi)星或空間碎片碰撞，都會造成整個(gè)地球陷入混亂局面。隨著衛(wèi)星的制造成本越來越低，國家空間機(jī)構(gòu)和個(gè)人企業(yè)也能夠更容易地啟動和維護(hù)它們，它們將逐漸發(fā)展成為現(xiàn)代生活的組成部分。通過衛(wèi)星釋放出的錯(cuò)誤或欺騙性信號，將會干擾關(guān)鍵的交通和通信系統(tǒng)乃至金融服務(wù)。

如果偽造的GPS信號被發(fā)送到飛機(jī)、輪船和道路車輛系統(tǒng)之中，勢必將威脅人們的生命財(cái)產(chǎn)安全，而且供應(yīng)鏈也會受到阻礙;依賴準(zhǔn)確時(shí)間戳(timestamps)標(biāo)記數(shù)字支付的國際金融系統(tǒng)(從證券交易所到ATM機(jī))將無法準(zhǔn)確記錄交易;通過誤導(dǎo)基于天氣或特定資產(chǎn)位置(例如，指示哪些農(nóng)作物買入或賣出)的衛(wèi)星數(shù)據(jù)的交易算法，將達(dá)到操縱金融市場的目的。

未來幾年，衛(wèi)星將在連接地面(Earth-based )基礎(chǔ)設(shè)施和系統(tǒng)方面發(fā)揮越來越重要的作用。然而，組織需要認(rèn)識到軍方多年前就已經(jīng)領(lǐng)悟到的一個(gè)事實(shí)——即一旦攻擊衛(wèi)星成功，沒有人能夠幸免于難。

3. 智能家居武器化

攻擊者會想方設(shè)法地訪問數(shù)以百萬計(jì)的連接設(shè)備中的大部分——例如加熱系統(tǒng)和烤箱——并將它們變成攻擊武器。如此大規(guī)模的電器設(shè)備會被征用并被濫用于許多破壞性的目的，類似于使用大量受損聯(lián)網(wǎng)設(shè)備組成僵尸網(wǎng)絡(luò)以啟動大規(guī)模DDoS攻擊的方式。然而，作為一項(xiàng)值得特別關(guān)注的威脅類型，它也存在損害電網(wǎng)安全的可能性。

這些電器構(gòu)成了物聯(lián)網(wǎng)的一部分——許多都可以在家中、辦公室以及工廠內(nèi)找到——它們始終處于“開啟”狀態(tài)并始終連接到互聯(lián)網(wǎng)。如果這些電器受到攻擊者操縱，同切被切換為“全功率”(full power)模式，將會產(chǎn)生意想不到的功率需求，最終造成電力過載并導(dǎo)致地區(qū)電網(wǎng)不能正常運(yùn)行。隨著電網(wǎng)宕機(jī)或嚴(yán)重退化，組織的能力將被削弱并難以發(fā)揮作用。

許多最基礎(chǔ)的業(yè)務(wù)連續(xù)性計(jì)劃(例如指導(dǎo)員工在家辦公)將變得毫無用處，因?yàn)樗麄兗热狈﹄娏χС忠矝]有溝通途徑。人們賴以生存的重要服務(wù)(如供水、食品生產(chǎn)系統(tǒng)和醫(yī)療保健等)也將不能使用。此外，電力配給也將影響其他公用事業(yè)和服務(wù)，例如供暖、照明和運(yùn)輸?shù)?。最重要的是，受?zāi)地區(qū)的企業(yè)將由此喪失競爭優(yōu)勢，因?yàn)樘幵诜鞘転?zāi)地區(qū)的競爭對手將能夠迅速利用這些日漸增長的需求，發(fā)展擴(kuò)大其業(yè)務(wù)規(guī)模。

4. 量子武器競賽削弱數(shù)字經(jīng)濟(jì)

下一代計(jì)算機(jī)技術(shù)(量子計(jì)算)將能夠在幾小時(shí)或幾分鐘內(nèi)破解加密技術(shù)，而要完成這一過程，傳統(tǒng)計(jì)算機(jī)需要花費(fèi)數(shù)百萬年的時(shí)間。因此，構(gòu)成當(dāng)今數(shù)字經(jīng)濟(jì)基礎(chǔ)的安全機(jī)制將需要徹底檢修，此舉可能會使組織面臨數(shù)百萬美元的轉(zhuǎn)換成本和交易損失。但是，實(shí)際問題現(xiàn)在就開始了。特別是，各方將通過收獲巨大的加密信息池來搶先采用這種新技術(shù)，并在未來技術(shù)可用時(shí)使用它。

國家情報(bào)機(jī)構(gòu)將率先采用這項(xiàng)技術(shù)。由此一來，對手的敏感信息、通信、服務(wù)、交易以及關(guān)鍵基礎(chǔ)設(shè)施都將再無秘密可言。想要率先掌握該技術(shù)的愿望勢必會推動數(shù)字軍備競賽發(fā)展。誰將成為量子優(yōu)勝者?目前尚不清楚。

一些民族國家可能會進(jìn)一步擴(kuò)大視野，將量子計(jì)算作為一種攻擊性武器來破壞他們感知到的敵人的數(shù)字經(jīng)濟(jì)。然后，公共和私營部門組織將成為一系列攻擊者的首要目標(biāo)。在這種情況下，沒有人是安全無憂的，即便是那些相信他們的信息現(xiàn)在是安全的組織也無法幸免。

5. 人工智能惡意軟件放大攻擊者的能力

根據(jù)許多未來學(xué)家的觀點(diǎn)，人工智能將為社會帶來巨大的收益，特別是在研究和醫(yī)療保健等領(lǐng)域。然而，它也將以更具破壞性的方式進(jìn)行部署，其中之一將是構(gòu)建能夠改變其形式和目的的計(jì)算機(jī)惡意軟件。攻擊者將使用這種人工智能惡意軟件來尋找訪問組織網(wǎng)絡(luò)并破壞其運(yùn)營的新方法。一些關(guān)鍵任務(wù)信息資產(chǎn)(如商業(yè)秘密、研發(fā)計(jì)劃和業(yè)務(wù)戰(zhàn)略等)將成為其首要攻擊目標(biāo)，因?yàn)樗羞@些信息都未經(jīng)檢測。

因?yàn)樗腔贏I的，所以這種新型惡意軟件將能夠從其環(huán)境中學(xué)習(xí)，分析應(yīng)用程序和系統(tǒng)以實(shí)時(shí)發(fā)現(xiàn)和利用新的漏洞。在這種情況下，很難區(qū)分哪些是安全的，能夠免受未經(jīng)授權(quán)的訪問影響，而哪些是不安全的。即使以前被認(rèn)為受到良好保護(hù)的信息也有可能會受到損害。

用于識別和清除惡意軟件的傳統(tǒng)技術(shù)很快也將失效。相反地，需要基于人工智能(AI)的解決方案來對付這種新的惡意軟件，從而形成了“AI攻防”較量的局面。而究竟誰會是最終的勝利者，可能需要相當(dāng)長的時(shí)間進(jìn)行驗(yàn)證。

6. 針對聯(lián)網(wǎng)車輛的攻擊危及人身安全

攻擊者將會遠(yuǎn)程攻擊一系列聯(lián)網(wǎng)車輛(包括汽車、貨車、船只以及火車等)，通過利用機(jī)載系統(tǒng)內(nèi)的漏洞來控制并竊取它們或是禁用重要的安全功能。所有類型的車輛都將暴露于威脅之中。至于攻擊目標(biāo)的規(guī)模，很可能大到驚人：例如，Gartner預(yù)測全球制造的聯(lián)網(wǎng)汽車數(shù)量將從2016年的1240萬增長到2020年的6100萬。

這一威脅造成的影響將因人而異。乘坐聯(lián)網(wǎng)汽車旅行或是在聯(lián)網(wǎng)汽車附近的人將會面臨生命危險(xiǎn);那些依賴連接車輛運(yùn)輸貨物或材料的供應(yīng)鏈組織將面臨運(yùn)營中斷的風(fēng)險(xiǎn);汽車制造商及其分銷商將面臨聲譽(yù)方面的損失;維護(hù)提供商將面臨迫切需要執(zhí)行軟件和硬件更新的壓力。

事故責(zé)任(包括故意的攻擊行為)將成為一個(gè)特別熱門的話題。保險(xiǎn)公司將被迫重新考慮他們的策略，以重新制定涉及連接車輛事件的索賠事宜;組織希望自己是無可指責(zé)的，但可能也要承擔(dān)責(zé)任;如果事故引發(fā)廣泛關(guān)注，汽車制造商可能將面臨復(fù)雜的集體訴訟戰(zhàn)。

7. 生物識別技術(shù)提供一種錯(cuò)誤的安全感

對便利性和可用性的需求，將推動組織轉(zhuǎn)向使用生物識別身份驗(yàn)證方法作為所有形式計(jì)算和通信設(shè)備的默認(rèn)設(shè)置，以取代如今的多因素身份驗(yàn)證方法。但是，對一種或多種生物識別技術(shù)功效的任何錯(cuò)誤信任都會導(dǎo)致敏感信息暴露。而針對生物識別技術(shù)的攻擊也會對企業(yè)的財(cái)務(wù)和聲譽(yù)帶來損失。

由不同供應(yīng)商生產(chǎn)的各種各樣的專有技術(shù)將使問題變得更加復(fù)雜化。由于沒有通用的全球生物識別安全標(biāo)準(zhǔn)，所以一些技術(shù)將不可避免地落后于其他技術(shù)。那么問題就變成：今天哪些技術(shù)是安全的?以及第二天它還會是安全的嗎……那么第三天、第四天……呢?

隨著新設(shè)備逐漸滲透到組織之中，現(xiàn)有的安全策略將遠(yuǎn)遠(yuǎn)不能解決這些新出現(xiàn)的問題。如果未能對這些重大變化做足計(jì)劃和準(zhǔn)備，勢必將造成一些組織陷入這樣一種危險(xiǎn)境地：即企業(yè)的關(guān)鍵或敏感信息受到單一生物識別因素的保護(hù)，而這種生物識別因素被證實(shí)是脆弱的。

8. 新法規(guī)將增加風(fēng)險(xiǎn)和合規(guī)性負(fù)擔(dān)

到2020年，新出臺的國際和地區(qū)法規(guī)的數(shù)量和復(fù)雜性，加上現(xiàn)有的法規(guī)，將會造成合規(guī)資源和機(jī)制不堪重負(fù)。此外，這些新的合規(guī)要求也將導(dǎo)致一個(gè)不斷膨脹的“攻擊面”的出現(xiàn)，這個(gè)攻擊面必須得到充分保護(hù)，因?yàn)楣粽邥粩鄴呙?、探測并尋求方法攻破它。

對于一些組織來說，新的合規(guī)要求會增加必須儲存和保護(hù)的敏感信息的數(shù)量，包括客戶詳細(xì)信息和業(yè)務(wù)計(jì)劃等。其他組織可能會注重?cái)?shù)據(jù)透明度方面的監(jiān)管要求，從而導(dǎo)致信息被提供給第三方使用，這些第三方將在多個(gè)地點(diǎn)傳輸、處理和存儲這些信息。

在應(yīng)對大量監(jiān)管義務(wù)的同時(shí)，平衡可能相互矛盾的需求，可能會將主要員工從重要的風(fēng)險(xiǎn)緩解活動中轉(zhuǎn)移出去，或者將合規(guī)失敗的影響提高到新的水平;企業(yè)領(lǐng)導(dǎo)也將面臨更為艱難的抉擇;那些判斷失誤的員工可能會使其組織面臨非常嚴(yán)重的經(jīng)濟(jì)和聲譽(yù)損失。

9. 專業(yè)人員成泄露組織機(jī)密的“切入口”

商人無情追逐利潤的本性以及不斷變化的勞動力市場都將營造一種不確定和不安全的氣氛，最終會降低員工對組織的忠誠度。而這種忠誠度的缺失也將會被利用：“兌現(xiàn)”公司機(jī)密(包括安全漏洞等組織薄弱點(diǎn))所帶來的巨大誘惑和高額回報(bào)，將隨著這些機(jī)密不斷增長的市場價(jià)值得到進(jìn)一步放大。即便是你認(rèn)為值得信賴的專業(yè)人員也會面臨誘惑，忠誠度受到考驗(yàn)。

大多數(shù)組織已經(jīng)認(rèn)識到，有關(guān)關(guān)鍵任務(wù)信息資產(chǎn)的密碼及密鑰必須謹(jǐn)慎分發(fā)，只有那些既需要它們又被視為值得信賴的人員才能獲取到這些信息。然而，現(xiàn)在已經(jīng)通過初步審查和背景調(diào)查的員工或許會在將來面臨巨大誘惑或脅迫(如威逼利誘、綁架勒索、金錢回報(bào)等)，從而做出違背該信任的決定。

內(nèi)部威脅一直很重要，稍一出錯(cuò)就可能使整個(gè)組織陷入危險(xiǎn)境地。漏洞懸賞和道德披露計(jì)劃的建立，加上網(wǎng)絡(luò)犯罪或黑客對于機(jī)密信息的需求，都促使漏洞信息的價(jià)值不斷攀升。那些依賴現(xiàn)有機(jī)制來確保員工和合同方的忠誠度，從而賦予其獲得敏感信息的組織，很快將會發(fā)現(xiàn)這些機(jī)制的不足。

結(jié)語

隨著威脅場景地不斷變化，組織必須全面致力于采取嚴(yán)謹(jǐn)而實(shí)用的方法來管理未來的這些重大變化。此舉需要組織內(nèi)每個(gè)級別的員工都能參與進(jìn)來，包括董事會成員以及非技術(shù)職務(wù)的經(jīng)理等。

上述列出的九個(gè)威脅場景暴露了未來兩年最突出的安全風(fēng)險(xiǎn)。它們有能力以驚人的速度在網(wǎng)絡(luò)空間傳播其影響，特別是當(dāng)互聯(lián)網(wǎng)的使用率不斷攀升時(shí)。隨著變革步伐的加劇，許多組織將難以應(yīng)付。提前認(rèn)清這些威脅并做好防御準(zhǔn)備，將能夠最大程度地降低風(fēng)險(xiǎn)損失。