信息來源：比特網(wǎng)

2016年對于企業(yè)來說是充滿挑戰(zhàn)的一年，黑客通過勒索軟件取得空前的成功，亞太地區(qū)的企業(yè)也不例外。 這一年我們學(xué)到的教訓(xùn)刻骨銘心，那就是沒有一個行業(yè)是安全的， 只要您的系統(tǒng)有安全漏洞存在，網(wǎng)絡(luò)黑客終歸會找到它。

為確保網(wǎng)絡(luò)安全，各家企業(yè)應(yīng)抓緊2017年這一時機制定出日常安全風(fēng)險評估計劃。 技術(shù)上的不斷創(chuàng)新以及互聯(lián)互通程度的不斷加強，正在促使商業(yè)環(huán)境不斷轉(zhuǎn)變，并為整個地區(qū)帶來業(yè)務(wù)拓展機會。

認(rèn)識到存在安全問題并不代表著要完全回避新興科技，而是要保持理性，比網(wǎng)絡(luò)犯罪者更快一步了解當(dāng)前和潛在的威脅，以及知曉如何降低風(fēng)險。

以下為我對2017年亞太地區(qū)安全形勢的預(yù)測，包括：

1. 工業(yè)控制系統(tǒng)可能會對你不利

工業(yè)控制系統(tǒng)(Industrial control systems, ICS)是企業(yè)的重要組成部分，這在亞太地區(qū)尤其明顯。這些系統(tǒng)包括建筑管理系統(tǒng)、暖通空調(diào)(Heating Ventilation and Air Conditioning,HVAC)以及安全門等等。

大多數(shù)企業(yè)都將他們的建筑管理系統(tǒng)外包，所以他們不一定知道第三方供應(yīng)商是否已部署足夠多的安全措施。這可能導(dǎo)致惡意入侵者趁虛而入，構(gòu)成嚴(yán)重?fù)p害。

舉例來說，攻擊者可以將服務(wù)器機房或數(shù)據(jù)中心的溫度調(diào)高到50℃，然后關(guān)閉建筑物的所有出入口，阻止外人進(jìn)入將硬件轉(zhuǎn)移至更安全的位置。 最后，硬件因過熱而宕機，從而對業(yè)務(wù)、客戶和合作伙伴造成重大的損失。

您需要考慮的是：

? 仔細(xì)想想，其實幾乎所有的企業(yè)都可能會面臨這樣的攻擊。 因此企業(yè)領(lǐng)導(dǎo)在考量安全問題時，除了基本的防御措施之外，還要考慮更多。企業(yè)需要通過第三方以及自己的網(wǎng)絡(luò)宏觀地了解其潛在弱點， 并制定方案防御潛在攻擊。

? 您有沒有檢查過您業(yè)務(wù)所依賴的非IT設(shè)備及其安全性？ 他們有沒有連接到互聯(lián)網(wǎng)，是不是由第三方管理？

? 外包的第三方有什么級別的安全保證？ 他們能否向您提供有關(guān)如何確保自身安全以及他們?nèi)绾伪Ｗo(hù)和管理您網(wǎng)絡(luò)系統(tǒng)的信息？

2.物聯(lián)網(wǎng)(IoT)設(shè)備將成為網(wǎng)絡(luò)罪犯的目標(biāo)

市場研究公司Gartner預(yù)測，由物聯(lián)網(wǎng)連接起來的“物”的數(shù)量將從2015年的65億增加到2020年的近210億。這些連接的設(shè)備所提供的信息包羅萬象：從巴士剎車片何時需要更換，到礦場上的全部機器是否在可接受的參數(shù)內(nèi)運行等等，都務(wù)求帶來更好的客戶體驗。

然而，這些連接的設(shè)備也會成為網(wǎng)絡(luò)罪犯的目標(biāo)，特別是在人們對供應(yīng)商的安全性深信不疑的情況下，這一情況表現(xiàn)尤其突出。這些終端設(shè)備為企業(yè)的網(wǎng)絡(luò)提供了無數(shù)個潛在的切入點，而這些切入點均需要被保護(hù)。 2016年，我們親眼見證了第一個真正的挑戰(zhàn)：一些受到影響的設(shè)備被僵尸網(wǎng)絡(luò)(botnet)連接起來，用以攻擊銀行和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的關(guān)鍵部位。

任何一臺設(shè)備，只要連接到計算機或網(wǎng)絡(luò)時就會存在潛在的風(fēng)險。這些設(shè)備的類型從CCTV攝錄機到連接精密機械的微型傳感器不一而足，即使是安全專家也不可能時刻將他們關(guān)注， 但是一旦被連接到互聯(lián)網(wǎng)或由第三方管理，這些設(shè)備便有可能為業(yè)務(wù)運行帶來風(fēng)險。

網(wǎng)絡(luò)犯罪分子對那些想要竊取的資料覬覦已久，并想方設(shè)法尋找切入路徑。

您需要考慮的是：

? 您需要明白，物聯(lián)網(wǎng)已經(jīng)不是一個可能性的問題或者是一個未來的項目這么簡單，它是現(xiàn)實，就在當(dāng)前。所以一定要問問您的安全供應(yīng)商是如何確保他們所提供設(shè)備的安全性的。 正如我們已經(jīng)看到的很多個案，他們可能根本就沒有采取安全措施，或者他們的設(shè)備使用的還是一些默認(rèn)的用戶名或密碼。 所以為了您的網(wǎng)絡(luò)安全著想，一旦這些設(shè)備連接到你的網(wǎng)絡(luò)，以上狀況就需要改正。

? 任何使用原廠設(shè)置進(jìn)行安全保護(hù)的設(shè)備都會被輕易入侵。 IT經(jīng)理必須更改那些標(biāo)準(zhǔn)的管理員密碼以免成為攻擊者的目標(biāo)。

? 此外，定期檢查這些設(shè)備，確保它們符合公司的安全政策。

3. 我們可能會發(fā)現(xiàn)勒索軟件帶來的影響會更惡劣

勒索軟件將企業(yè)數(shù)據(jù)鎖定并要求受害者支付贖金。如果您認(rèn)為2016年勒索軟件肆虐的情況已經(jīng)非常嚴(yán)重，那么2017年的情況則有過之而無不及。 我們預(yù)料會有更多使用更先進(jìn)技術(shù)的攻擊。 如果Locky勒索軟件的發(fā)現(xiàn)在2016年還算是個案的話，那金融惡意軟件的數(shù)量將在2017年持續(xù)增加。

不幸的是，由于企業(yè)和個別受害者已經(jīng)支付了相關(guān)贖金，以后這類贖金很有可能會越來越高。曾有些個案是支付贖金之后數(shù)據(jù)被解鎖，然后受害者再次被攻擊。 由此可見，支付贖金并不能讓您的企業(yè)網(wǎng)絡(luò)免受威脅。 我們的建議始終如一：不要支付贖金。

您需要考慮的是：

? 假若您只有少于72小時的時間來響應(yīng)，那么面對攻擊您是否準(zhǔn)備好了全面?zhèn)浞莶呗院蛻?yīng)對措施？

? 您上一次測試和驗證備份是什么時候？

? 您是否已應(yīng)用了基本文件阻截措施來防止威脅進(jìn)入您的企業(yè)網(wǎng)絡(luò)？ 某些文件類型可能會對您的企業(yè)造成風(fēng)險。 問問自己：我們應(yīng)該允許所有文件，還是應(yīng)該阻截可能導(dǎo)致問題的惡意文件類型來管理風(fēng)險？

4. 我們將面臨嚴(yán)重的數(shù)據(jù)信任危機

人們對那些他們認(rèn)為安全的東西總是深信不疑或者是自欺欺人，而實際上并不安全，比如，看起來像來自某企業(yè)的機密數(shù)據(jù)被公開或可已訪問，其實是由惡意組織埋下的陷阱。 無論是用哪一種方式，受害者最終都要要付上商業(yè)聲譽的風(fēng)險和金錢代價。

多年以來，信息安全專家一直使用被稱為CIA三元組的模式，該模式著眼于機密性(Confidentiality)、可信性(Integrity) 和可用性(Availability) ，以此指導(dǎo)企業(yè)內(nèi)部的信息安全政策。 許多組織一直將機密性視為一種方法保護(hù)其數(shù)據(jù)免遭竊取，將可用性視為一種途徑來訪問數(shù)據(jù)和系統(tǒng)，但在數(shù)據(jù)和系統(tǒng)的可信性上他們又花了多長時間呢？

試想一下，一個數(shù)據(jù)項目經(jīng)營多年，收集信息然后進(jìn)行分析，然后就被破壞掉了。例如，某能源公司花費巨資用于研究和研發(fā)，在勘探下一口油井時收集了以PB為單位的海量數(shù)據(jù)，然后這些數(shù)據(jù)被攻擊者控制了，變得毫無價值可言。一旦數(shù)據(jù)的可信性被操縱，哪怕只是其中一點被改變了，那么這家能源公司就有可能在錯誤的位置鉆探，造成時間和金錢上的浪費，甚至造成生態(tài)災(zāi)難。 這可能導(dǎo)致公司做出錯誤決定，并產(chǎn)生重大惡果。 同樣地，一些系統(tǒng)被攻擊后又被鏟除所有痕跡的個案，結(jié)果也是一樣。

另一個可怕的例子是個體化藥物：一個人的遺傳基因構(gòu)造已被知悉并記錄，因此無需試驗?zāi)姆N藥物有效，醫(yī)生便可以精確地制定合適的組合和劑量。 但如果攻擊者改變了這種程序的數(shù)據(jù)，它不但影響藥物的效用，還可能對患者產(chǎn)生長期的負(fù)面影響，甚至威脅他們的性命，所以這里牽涉的風(fēng)險相當(dāng)高。

我們該如何應(yīng)對？

首先，所有企業(yè)都應(yīng)該歡迎這些變化，因為它們是進(jìn)一步將服務(wù)數(shù)字化和改善我們生活方式的方法之一。 然而，隨著數(shù)字化的進(jìn)一步推進(jìn)，我們必須確保數(shù)據(jù)受到保護(hù)。 驗證理應(yīng)是所有平臺在每個開發(fā)階段以及每個供應(yīng)商與客戶關(guān)系中的核心步驟。 其可信性必須受到保護(hù)，未經(jīng)授權(quán)的組織不得對其修改，只有獲得授權(quán)的組織才能在需要時使用這些信息。

您需要考慮的是：

? 企業(yè)需要了解兩個關(guān)鍵因素：敏感信息所在的位置以及哪些是業(yè)務(wù)運營最關(guān)鍵的信息。令人驚訝的是，許多企業(yè)回答不了這個問題。 這可能導(dǎo)致資源不合理配置：安全措施散布于整個企業(yè)中，而不是被重點部署在最需要它們的地方，從而導(dǎo)致購買和使用安全措施的成本增加。

? 我們的員工中誰會訪問那些敏感信息？ 只要知道誰有權(quán)訪問這些文件和大數(shù)據(jù)，便能更清楚知道他們訪問過哪些內(nèi)容。

? 降低敏感信息外泄風(fēng)險的關(guān)鍵方法是了解信息如何受到保護(hù)。 是否已部署安全方案，而它是否能供真正提供所需級別的保護(hù)，從而降低企業(yè)所面臨的關(guān)鍵任務(wù)的風(fēng)險？