文|趙淑鈺 中國信通院互聯(lián)網(wǎng)法律研究中心高級研究員

2023年2月美國兩黨政策中心（Bipartisan Policy Center）發(fā)布了題為《網(wǎng)絡(luò)安全中最大的風(fēng)險2023》的報告，以期為企業(yè)和政府決策者提供識別并管理網(wǎng)絡(luò)安全風(fēng)險的框架。

一、宏觀網(wǎng)絡(luò)安全風(fēng)險

兩黨政策中心提出了最主要的八項宏觀網(wǎng)絡(luò)安全風(fēng)險，并認為這八項風(fēng)險是最具影響力的網(wǎng)絡(luò)安全風(fēng)險。

一是不斷變化的地緣政治環(huán)境。受到國際沖突加劇和民族主義的廣泛影響，全球多邊地緣政治格局加速演變。俄羅斯和烏克蘭的戰(zhàn)爭導(dǎo)致網(wǎng)絡(luò)攻擊和對關(guān)鍵基礎(chǔ)設(shè)施的破壞日益增多，并且這場戰(zhàn)爭有蔓延到?jīng)_突地區(qū)以外的風(fēng)險。

二是網(wǎng)絡(luò)軍備競賽加速。網(wǎng)絡(luò)安全的基本性質(zhì)正在發(fā)生變化，但幾十年前的網(wǎng)絡(luò)攻擊方式仍然有效，隨著攻擊者的每一次創(chuàng)新，防御者必須找出針對過去、現(xiàn)在和未來網(wǎng)絡(luò)攻擊的防御方法，在攻擊者和防御者之間展開“軍備競賽”。隨著技術(shù)的進步和數(shù)字化的發(fā)展，2023年網(wǎng)絡(luò)安全專業(yè)人員要重點保護的領(lǐng)域?qū)⒊尸F(xiàn)指數(shù)級增長。

三是全球經(jīng)濟不穩(wěn)定。股市波動和高通脹影響了全球需求，并引發(fā)了對全球供應(yīng)鏈和世界經(jīng)濟關(guān)鍵要素的沖擊。對2023年市場繼續(xù)波動和利率上升的預(yù)期加劇了不穩(wěn)定的地緣政治環(huán)境，并給整個網(wǎng)絡(luò)安全部門帶來了風(fēng)險，包括人員、預(yù)算等方面。

四是重疊、沖突和主觀化的合規(guī)要求。在美國乃至全球范圍，美國公司需要遵守不同的地方當(dāng)局、州政府、聯(lián)邦政府發(fā)布的網(wǎng)絡(luò)安全、數(shù)據(jù)安全要求，不同地方的法律要求各不相同。隨著法律法規(guī)的增加，可能會給本地的跨國公司帶來更大合規(guī)挑戰(zhàn)。

五是公司治理滯后。盡管大型公司已在公司董事會和高級領(lǐng)導(dǎo)職位中增加網(wǎng)絡(luò)安全人才，但許多公司仍未設(shè)立此類職位。公司管理人員缺乏足夠的專業(yè)知識來有效管理網(wǎng)絡(luò)安全，使得公司處于一個不確定和充滿挑戰(zhàn)的經(jīng)營環(huán)境中。其中，中小企業(yè)面臨更大的網(wǎng)絡(luò)安全風(fēng)險。

六是缺乏投資、準(zhǔn)備和韌性。目前，公共部門和私營部門都沒有對重大網(wǎng)絡(luò)安全事故進行充分準(zhǔn)備和投資，在2023年仍然是一個巨大的漏洞。為危機準(zhǔn)備的自滿心態(tài)也可能導(dǎo)致不利的財務(wù)后果或者機密信息的丟失，可能會導(dǎo)致數(shù)據(jù)泄露、網(wǎng)絡(luò)釣魚攻擊和其他風(fēng)險。對第三方和第四方運營商的依賴也可能給網(wǎng)絡(luò)系統(tǒng)帶來額外的風(fēng)險。

七是脆弱的基礎(chǔ)設(shè)施。美國關(guān)鍵基礎(chǔ)設(shè)施尤其面臨著網(wǎng)絡(luò)安全威脅，美國CISA將關(guān)鍵基礎(chǔ)設(shè)施定義為“社會賴以維持國家安全、經(jīng)濟活力以及公共健康和安全的資產(chǎn)、系統(tǒng)、設(shè)施、網(wǎng)絡(luò)和其他要素”。關(guān)鍵基礎(chǔ)設(shè)施中很多系統(tǒng)都嚴重依賴國家和地方機構(gòu)以及可能缺乏必要網(wǎng)絡(luò)安全控制的第三方和第四方供應(yīng)商，這種依賴性可能導(dǎo)致巨大的網(wǎng)絡(luò)安全風(fēng)險。

八是人才短缺。“大辭職”、遠程工作、云計算、人工智能、消費者通脹壓力以及其他因素導(dǎo)致很多機構(gòu)難以留住網(wǎng)絡(luò)安全人才。目前，安全運營中心需要不斷雇傭熟練的員工來抵御云存儲和智能驅(qū)動中的網(wǎng)絡(luò)攻擊威脅。如果沒有掌握熟練技能的網(wǎng)絡(luò)安全人員來應(yīng)對這些新挑戰(zhàn)，相關(guān)機構(gòu)的安全防御能力將很快下降。

二、顯著網(wǎng)絡(luò)安全風(fēng)險

顯著網(wǎng)絡(luò)安全風(fēng)險是宏觀網(wǎng)絡(luò)安全風(fēng)險之外值得重點關(guān)注的風(fēng)險類型，其又分為戰(zhàn)略層面風(fēng)險和操作層面風(fēng)險。戰(zhàn)略層面風(fēng)險是代表網(wǎng)絡(luò)安全問題宏觀層面的已識別風(fēng)險，雖然沒有與其相關(guān)的具體威脅，但隨著時間的推移此類風(fēng)險可能會成倍增加。操作層面風(fēng)險代表網(wǎng)絡(luò)安全運營的微觀威脅，來自實踐部門的直接經(jīng)驗。

（一）戰(zhàn)略層面風(fēng)險

1、個人可識別信息（PII）的第三方保護仍需加強。PII是指可用于識別個人身份的任何信息，數(shù)據(jù)控制者通常會出于各種目的與第三方（如服務(wù)提供商或合作伙伴）共享PII，因此保護個人隱私安全的立法和措施仍需加強和完善。

2、缺乏統(tǒng)一定義的安全標(biāo)準(zhǔn)。在網(wǎng)絡(luò)安全背景下，安全標(biāo)準(zhǔn)被定義為合理和謹慎的網(wǎng)絡(luò)安全做法。但由于各行業(yè)和經(jīng)濟體的安全需求廣泛，因此并沒有產(chǎn)生公認的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括定期更新軟件和安全系統(tǒng)，培訓(xùn)員工，采用防止未經(jīng)授權(quán)訪問敏感信息的政策和程序等。

3、違約規(guī)模和嚴重程度增加。網(wǎng)絡(luò)犯罪統(tǒng)計數(shù)據(jù)表明，網(wǎng)絡(luò)攻擊的數(shù)量每年增加15%，并且，遠程工作也為網(wǎng)絡(luò)安全帶來的新的挑戰(zhàn)，數(shù)據(jù)泄露可能危及家庭網(wǎng)絡(luò)和個人設(shè)備。隨著全球威脅的增長，幾乎每個行業(yè)都必須實施新的戰(zhàn)略并迅速適應(yīng)，否則，攻擊者可能會調(diào)整方法以應(yīng)對新措施。

4、投資者安全透明度規(guī)則需落實。2022年，美國證券交易委員會提出了新的網(wǎng)絡(luò)安全風(fēng)險管理規(guī)則，要求投資顧問和上市公司披露網(wǎng)絡(luò)事件。美國兩黨政策中心支持這一行動，并認為需要更清楚地說明事件可報告的閾值，以及事件發(fā)生的時間、被發(fā)現(xiàn)的時間和達到可報告閾值的時間差。

5、白領(lǐng)網(wǎng)絡(luò)犯罪研究需加強。白領(lǐng)網(wǎng)絡(luò)犯罪是指為獲取經(jīng)濟利益而在網(wǎng)上進行的非暴力的非法活動，包括知識產(chǎn)權(quán)盜竊、計算機黑客、信用卡欺詐、身份盜竊、網(wǎng)絡(luò)釣魚等。聯(lián)邦法律對這類犯罪規(guī)定了嚴厲的懲罰。為了加強對網(wǎng)絡(luò)犯罪的應(yīng)對，需要在恢復(fù)數(shù)字證據(jù)等方面有經(jīng)驗豐富的計算機專家。由于白領(lǐng)網(wǎng)絡(luò)犯罪在刑事司法中是一個相對較新的概念，因此很少有關(guān)于技術(shù)對白領(lǐng)犯罪的影響以及白領(lǐng)犯罪行為的誘因的研究。

6、強制互操作性要求需落實。美國國會起草了在線平臺的互操作性要求，要求它們通過應(yīng)用程序編程接口（API）開放服務(wù)，以增加市場競爭。盡管這項立法尚未通過，但它表明了該行業(yè)新的監(jiān)管方式的潛力。這種整合可以促進共同標(biāo)準(zhǔn)的實現(xiàn)，從而提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施的穩(wěn)定性。

7、無效的信息共享。通過積極主動的信息共享進行跨部門合作，對于提高國家抵御網(wǎng)絡(luò)攻擊的能力越來越重要。一些著名的網(wǎng)絡(luò)威脅情報報告機制包括結(jié)構(gòu)化威脅信息表達（STIX?）以及MITRE的對抗戰(zhàn)術(shù)、技巧和常識框架（ATT&CK?）。在政府機構(gòu)和公司之間，阻礙信息共享的問題是報告的及時性、數(shù)據(jù)的相關(guān)性和復(fù)雜性。

8、社會工程攻擊。社會工程攻擊會利用心理學(xué)操縱人們作出共享敏感信息或是允許訪問相關(guān)系統(tǒng)的行為。與其說是網(wǎng)絡(luò)攻擊，不如說是一場心理游戲，全世界有數(shù)百萬人上當(dāng)受騙，成為受害者。許多欺詐者的目標(biāo)是網(wǎng)絡(luò)安全意識有限的老年人。

9、加密貨幣成為犯罪的輔助手段。加密貨幣在犯罪活動中使用非常普遍，例如比特幣易于轉(zhuǎn)移和存儲，可以在世界任何地方匿名買賣，并且交易是永久的。在勒索軟件交易中，大多數(shù)黑客都要求使用比特幣支付，這種貨幣也用于暗網(wǎng)交易。網(wǎng)絡(luò)犯罪在加密貨幣本身也非常普遍，在過去幾年中，加密欺詐激增，隨著加密貨幣作為網(wǎng)絡(luò)犯罪支付手段，犯罪靈活性增加，限制了當(dāng)局追蹤和扣押非法資產(chǎn)的能力。

10、商業(yè)監(jiān)控構(gòu)成對隱私保護的威脅。使用可追蹤和監(jiān)控個人活動的商業(yè)產(chǎn)品對隱私和網(wǎng)絡(luò)安全構(gòu)成嚴重威脅。行為者可以利用商業(yè)上的產(chǎn)品進行間諜活動。目前，商業(yè)監(jiān)控產(chǎn)品的數(shù)量已使得當(dāng)局很難監(jiān)管和控制使用這些產(chǎn)品的人。

（二）操作層面風(fēng)險

1、Cookie盜竊。Cookie盜竊是一種中間人攻擊，它捕獲用戶的Cookie，以接管用戶的賬戶。此信息可能包括與特定登錄相關(guān)聯(lián)的用戶名、密碼或會話ID。這通常發(fā)生在公共WIFI網(wǎng)絡(luò)上，但也可以通過直接安裝在機器上的惡意軟件或跨站點腳本捕獲。

2、身份驗證。身份驗證在一些重要的系統(tǒng)中用來區(qū)分用戶，例如金融、醫(yī)療衛(wèi)生或政府服務(wù)。目前的重大挑戰(zhàn)是，不法分子使用遠程身份驗證工具竊取用戶身份，導(dǎo)致了數(shù)十億美元的損失。

3、對開源軟件的依賴。在網(wǎng)絡(luò)安全方面，開源軟件允許用戶檢查源代碼并識別任何可能存在的漏洞。當(dāng)發(fā)現(xiàn)一個錯誤時，它會影響所有包含該代碼的系統(tǒng)。如果開發(fā)人員不積極維護開源軟件，就會導(dǎo)致無法修補的漏洞。開源軟件也容易成為分發(fā)惡意軟件的一種方式。

4、內(nèi)部威脅、勒索、未經(jīng)驗證的信任。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）確定了四種類型的內(nèi)部威脅：疏忽或意外、故意、串通和第三方威脅。除了存在于內(nèi)部的威脅外，不同類型的合作也可能增加內(nèi)部勾結(jié)的風(fēng)險，這些操作會導(dǎo)致對資本、敏感信息或?qū)Ｓ袛?shù)據(jù)的勒索。未經(jīng)驗證的信任是指內(nèi)部人員利用其訪問權(quán)限傳播錯誤信息、惡意軟件或?qū)嵤┚W(wǎng)絡(luò)釣魚詐騙，或者訪問一些薄弱的系統(tǒng)。

5、惡意軟件商業(yè)化。許多犯罪分子正轉(zhuǎn)向惡意軟件即服務(wù)和勒索軟件即服務(wù)（RaaS）來滿足黑客需求，目前此類程序可以很容易地在暗網(wǎng)上找到。

6、支持內(nèi)置應(yīng)用程序安全防范措施。公司和其他人必須在技術(shù)開發(fā)過程中對安全因素進行事前考慮。雖然內(nèi)置安全程序可能需要更長的時間，而且代價更高。但目前對網(wǎng)絡(luò)安全的日益重視，此種措施將更容易實現(xiàn)。

7、基礎(chǔ)控制失效?；A(chǔ)控制是指構(gòu)成組織整體安全態(tài)勢基礎(chǔ)的基本安全措施，包括訪問控制、密碼和網(wǎng)絡(luò)安全措施。隨著時間推移，需要定期評估基礎(chǔ)控制措施，以確保其有效。雖然基本控制對于計算機系統(tǒng)來說已經(jīng)足夠復(fù)雜，但相關(guān)技術(shù)在更新系統(tǒng)方面仍面臨挑戰(zhàn)。

8、證書受損。多年來，證書受損的危險主要局限于密碼。但近年來，不法分子也發(fā)現(xiàn)了破壞一些多因素身份驗證（MFA）的工具。傳統(tǒng)的密碼攻擊側(cè)重于暴力攻擊和憑證填充，現(xiàn)在已經(jīng)被更復(fù)雜的網(wǎng)絡(luò)釣魚攻擊所加強。

9、數(shù)據(jù)解密。數(shù)據(jù)加密在網(wǎng)絡(luò)安全中極其重要。許多用戶認為，如果他們對數(shù)據(jù)進行加密，數(shù)據(jù)就是安全的。然而，一些加密算法已經(jīng)被破壞，一些秘鑰也可以通過暴力強制打開。隨著加密算法被破解，系統(tǒng)必須更新更復(fù)雜的加密代碼。

聲明：本文來自CAICT互聯(lián)網(wǎng)法律研究中心，版權(quán)歸作者所有。