信息來(lái)源：比特網(wǎng)

2016年對(duì)于企業(yè)來(lái)說(shuō)是充滿(mǎn)挑戰(zhàn)的一年，黑客通過(guò)勒索軟件取得空前的成功，亞太地區(qū)的企業(yè)也不例外。 這一年我們學(xué)到的教訓(xùn)刻骨銘心，那就是沒(méi)有一個(gè)行業(yè)是安全的， 只要您的系統(tǒng)有安全漏洞存在，網(wǎng)絡(luò)黑客終歸會(huì)找到它。

為確保網(wǎng)絡(luò)安全，各家企業(yè)應(yīng)抓緊2017年這一時(shí)機(jī)制定出日常安全風(fēng)險(xiǎn)評(píng)估計(jì)劃。 技術(shù)上的不斷創(chuàng)新以及互聯(lián)互通程度的不斷加強(qiáng)，正在促使商業(yè)環(huán)境不斷轉(zhuǎn)變，并為整個(gè)地區(qū)帶來(lái)業(yè)務(wù)拓展機(jī)會(huì)。

認(rèn)識(shí)到存在安全問(wèn)題并不代表著要完全回避新興科技，而是要保持理性，比網(wǎng)絡(luò)犯罪者更快一步了解當(dāng)前和潛在的威脅，以及知曉如何降低風(fēng)險(xiǎn)。

以下為我對(duì)2017年亞太地區(qū)安全形勢(shì)的預(yù)測(cè)，包括：

1. 工業(yè)控制系統(tǒng)可能會(huì)對(duì)你不利

工業(yè)控制系統(tǒng)(Industrial control systems, ICS)是企業(yè)的重要組成部分，這在亞太地區(qū)尤其明顯。這些系統(tǒng)包括建筑管理系統(tǒng)、暖通空調(diào)(Heating Ventilation and Air Conditioning,HVAC)以及安全門(mén)等等。

大多數(shù)企業(yè)都將他們的建筑管理系統(tǒng)外包，所以他們不一定知道第三方供應(yīng)商是否已部署足夠多的安全措施。這可能導(dǎo)致惡意入侵者趁虛而入，構(gòu)成嚴(yán)重?fù)p害。

舉例來(lái)說(shuō)，攻擊者可以將服務(wù)器機(jī)房或數(shù)據(jù)中心的溫度調(diào)高到50℃，然后關(guān)閉建筑物的所有出入口，阻止外人進(jìn)入將硬件轉(zhuǎn)移至更安全的位置。 最后，硬件因過(guò)熱而宕機(jī)，從而對(duì)業(yè)務(wù)、客戶(hù)和合作伙伴造成重大的損失。

您需要考慮的是：

? 仔細(xì)想想，其實(shí)幾乎所有的企業(yè)都可能會(huì)面臨這樣的攻擊。 因此企業(yè)領(lǐng)導(dǎo)在考量安全問(wèn)題時(shí)，除了基本的防御措施之外，還要考慮更多。企業(yè)需要通過(guò)第三方以及自己的網(wǎng)絡(luò)宏觀地了解其潛在弱點(diǎn)， 并制定方案防御潛在攻擊。

? 您有沒(méi)有檢查過(guò)您業(yè)務(wù)所依賴(lài)的非IT設(shè)備及其安全性？ 他們有沒(méi)有連接到互聯(lián)網(wǎng)，是不是由第三方管理？

? 外包的第三方有什么級(jí)別的安全保證？ 他們能否向您提供有關(guān)如何確保自身安全以及他們?nèi)绾伪Ｗo(hù)和管理您網(wǎng)絡(luò)系統(tǒng)的信息？

2.物聯(lián)網(wǎng)(IoT)設(shè)備將成為網(wǎng)絡(luò)罪犯的目標(biāo)

市場(chǎng)研究公司Gartner預(yù)測(cè)，由物聯(lián)網(wǎng)連接起來(lái)的“物”的數(shù)量將從2015年的65億增加到2020年的近210億。這些連接的設(shè)備所提供的信息包羅萬(wàn)象：從巴士剎車(chē)片何時(shí)需要更換，到礦場(chǎng)上的全部機(jī)器是否在可接受的參數(shù)內(nèi)運(yùn)行等等，都務(wù)求帶來(lái)更好的客戶(hù)體驗(yàn)。

然而，這些連接的設(shè)備也會(huì)成為網(wǎng)絡(luò)罪犯的目標(biāo)，特別是在人們對(duì)供應(yīng)商的安全性深信不疑的情況下，這一情況表現(xiàn)尤其突出。這些終端設(shè)備為企業(yè)的網(wǎng)絡(luò)提供了無(wú)數(shù)個(gè)潛在的切入點(diǎn)，而這些切入點(diǎn)均需要被保護(hù)。 2016年，我們親眼見(jiàn)證了第一個(gè)真正的挑戰(zhàn)：一些受到影響的設(shè)備被僵尸網(wǎng)絡(luò)(botnet)連接起來(lái)，用以攻擊銀行和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的關(guān)鍵部位。

任何一臺(tái)設(shè)備，只要連接到計(jì)算機(jī)或網(wǎng)絡(luò)時(shí)就會(huì)存在潛在的風(fēng)險(xiǎn)。這些設(shè)備的類(lèi)型從CCTV攝錄機(jī)到連接精密機(jī)械的微型傳感器不一而足，即使是安全專(zhuān)家也不可能時(shí)刻將他們關(guān)注， 但是一旦被連接到互聯(lián)網(wǎng)或由第三方管理，這些設(shè)備便有可能為業(yè)務(wù)運(yùn)行帶來(lái)風(fēng)險(xiǎn)。

網(wǎng)絡(luò)犯罪分子對(duì)那些想要竊取的資料覬覦已久，并想方設(shè)法尋找切入路徑。

您需要考慮的是：

? 您需要明白，物聯(lián)網(wǎng)已經(jīng)不是一個(gè)可能性的問(wèn)題或者是一個(gè)未來(lái)的項(xiàng)目這么簡(jiǎn)單，它是現(xiàn)實(shí)，就在當(dāng)前。所以一定要問(wèn)問(wèn)您的安全供應(yīng)商是如何確保他們所提供設(shè)備的安全性的。 正如我們已經(jīng)看到的很多個(gè)案，他們可能根本就沒(méi)有采取安全措施，或者他們的設(shè)備使用的還是一些默認(rèn)的用戶(hù)名或密碼。 所以為了您的網(wǎng)絡(luò)安全著想，一旦這些設(shè)備連接到你的網(wǎng)絡(luò)，以上狀況就需要改正。

? 任何使用原廠設(shè)置進(jìn)行安全保護(hù)的設(shè)備都會(huì)被輕易入侵。 IT經(jīng)理必須更改那些標(biāo)準(zhǔn)的管理員密碼以免成為攻擊者的目標(biāo)。

? 此外，定期檢查這些設(shè)備，確保它們符合公司的安全政策。

3. 我們可能會(huì)發(fā)現(xiàn)勒索軟件帶來(lái)的影響會(huì)更惡劣

勒索軟件將企業(yè)數(shù)據(jù)鎖定并要求受害者支付贖金。如果您認(rèn)為2016年勒索軟件肆虐的情況已經(jīng)非常嚴(yán)重，那么2017年的情況則有過(guò)之而無(wú)不及。 我們預(yù)料會(huì)有更多使用更先進(jìn)技術(shù)的攻擊。 如果Locky勒索軟件的發(fā)現(xiàn)在2016年還算是個(gè)案的話(huà)，那金融惡意軟件的數(shù)量將在2017年持續(xù)增加。

不幸的是，由于企業(yè)和個(gè)別受害者已經(jīng)支付了相關(guān)贖金，以后這類(lèi)贖金很有可能會(huì)越來(lái)越高。曾有些個(gè)案是支付贖金之后數(shù)據(jù)被解鎖，然后受害者再次被攻擊。 由此可見(jiàn)，支付贖金并不能讓您的企業(yè)網(wǎng)絡(luò)免受威脅。 我們的建議始終如一：不要支付贖金。

您需要考慮的是：

? 假若您只有少于72小時(shí)的時(shí)間來(lái)響應(yīng)，那么面對(duì)攻擊您是否準(zhǔn)備好了全面?zhèn)浞莶呗院蛻?yīng)對(duì)措施？

? 您上一次測(cè)試和驗(yàn)證備份是什么時(shí)候？

? 您是否已應(yīng)用了基本文件阻截措施來(lái)防止威脅進(jìn)入您的企業(yè)網(wǎng)絡(luò)？ 某些文件類(lèi)型可能會(huì)對(duì)您的企業(yè)造成風(fēng)險(xiǎn)。 問(wèn)問(wèn)自己：我們應(yīng)該允許所有文件，還是應(yīng)該阻截可能導(dǎo)致問(wèn)題的惡意文件類(lèi)型來(lái)管理風(fēng)險(xiǎn)？

4. 我們將面臨嚴(yán)重的數(shù)據(jù)信任危機(jī)

人們對(duì)那些他們認(rèn)為安全的東西總是深信不疑或者是自欺欺人，而實(shí)際上并不安全，比如，看起來(lái)像來(lái)自某企業(yè)的機(jī)密數(shù)據(jù)被公開(kāi)或可已訪問(wèn)，其實(shí)是由惡意組織埋下的陷阱。 無(wú)論是用哪一種方式，受害者最終都要要付上商業(yè)聲譽(yù)的風(fēng)險(xiǎn)和金錢(qián)代價(jià)。

多年以來(lái)，信息安全專(zhuān)家一直使用被稱(chēng)為CIA三元組的模式，該模式著眼于機(jī)密性(Confidentiality)、可信性(Integrity) 和可用性(Availability) ，以此指導(dǎo)企業(yè)內(nèi)部的信息安全政策。 許多組織一直將機(jī)密性視為一種方法保護(hù)其數(shù)據(jù)免遭竊取，將可用性視為一種途徑來(lái)訪問(wèn)數(shù)據(jù)和系統(tǒng)，但在數(shù)據(jù)和系統(tǒng)的可信性上他們又花了多長(zhǎng)時(shí)間呢？

試想一下，一個(gè)數(shù)據(jù)項(xiàng)目經(jīng)營(yíng)多年，收集信息然后進(jìn)行分析，然后就被破壞掉了。例如，某能源公司花費(fèi)巨資用于研究和研發(fā)，在勘探下一口油井時(shí)收集了以PB為單位的海量數(shù)據(jù)，然后這些數(shù)據(jù)被攻擊者控制了，變得毫無(wú)價(jià)值可言。一旦數(shù)據(jù)的可信性被操縱，哪怕只是其中一點(diǎn)被改變了，那么這家能源公司就有可能在錯(cuò)誤的位置鉆探，造成時(shí)間和金錢(qián)上的浪費(fèi)，甚至造成生態(tài)災(zāi)難。 這可能導(dǎo)致公司做出錯(cuò)誤決定，并產(chǎn)生重大惡果。 同樣地，一些系統(tǒng)被攻擊后又被鏟除所有痕跡的個(gè)案，結(jié)果也是一樣。

另一個(gè)可怕的例子是個(gè)體化藥物：一個(gè)人的遺傳基因構(gòu)造已被知悉并記錄，因此無(wú)需試驗(yàn)?zāi)姆N藥物有效，醫(yī)生便可以精確地制定合適的組合和劑量。 但如果攻擊者改變了這種程序的數(shù)據(jù)，它不但影響藥物的效用，還可能對(duì)患者產(chǎn)生長(zhǎng)期的負(fù)面影響，甚至威脅他們的性命，所以這里牽涉的風(fēng)險(xiǎn)相當(dāng)高。

我們?cè)撊绾螒?yīng)對(duì)？

首先，所有企業(yè)都應(yīng)該歡迎這些變化，因?yàn)樗鼈兪沁M(jìn)一步將服務(wù)數(shù)字化和改善我們生活方式的方法之一。 然而，隨著數(shù)字化的進(jìn)一步推進(jìn)，我們必須確保數(shù)據(jù)受到保護(hù)。 驗(yàn)證理應(yīng)是所有平臺(tái)在每個(gè)開(kāi)發(fā)階段以及每個(gè)供應(yīng)商與客戶(hù)關(guān)系中的核心步驟。 其可信性必須受到保護(hù)，未經(jīng)授權(quán)的組織不得對(duì)其修改，只有獲得授權(quán)的組織才能在需要時(shí)使用這些信息。

您需要考慮的是：

? 企業(yè)需要了解兩個(gè)關(guān)鍵因素：敏感信息所在的位置以及哪些是業(yè)務(wù)運(yùn)營(yíng)最關(guān)鍵的信息。令人驚訝的是，許多企業(yè)回答不了這個(gè)問(wèn)題。 這可能導(dǎo)致資源不合理配置：安全措施散布于整個(gè)企業(yè)中，而不是被重點(diǎn)部署在最需要它們的地方，從而導(dǎo)致購(gòu)買(mǎi)和使用安全措施的成本增加。

? 我們的員工中誰(shuí)會(huì)訪問(wèn)那些敏感信息？ 只要知道誰(shuí)有權(quán)訪問(wèn)這些文件和大數(shù)據(jù)，便能更清楚知道他們?cè)L問(wèn)過(guò)哪些內(nèi)容。

? 降低敏感信息外泄風(fēng)險(xiǎn)的關(guān)鍵方法是了解信息如何受到保護(hù)。 是否已部署安全方案，而它是否能供真正提供所需級(jí)別的保護(hù)，從而降低企業(yè)所面臨的關(guān)鍵任務(wù)的風(fēng)險(xiǎn)？