2022年的十大安全挑戰 - 網安 - 專業的網絡安全產業、社區、知識平臺

每年的歲末年初通常是回顧和展望行業發展的時候。盡管信息安全多年來在工具、技術、培訓、意識方面取得了巨大進步，但仍然存在重大挑戰。以下是行業專家對2022年信息安全方面面臨的主要挑戰的預測。其中有一些是長期存在的問題，有一些是新出現的問題。以下介紹了人們可能在2022年面臨的十大安全挑戰：

1.文件保留政策

人們往往忘記數字安全首先與信息管理有關。一切都與數據有關。歸根結底，數據安全的目標是確保正確的信息(具有完整性)傳遞給正確的人員，并且不會流向其他地方。

在很大程度上，這意味著要做非常難做的事情。這意味著映射數據流(而不是網絡)。人們需要了解哪些數據位于何處、應該去往何處以及備份和存儲的位置。這也意味著了解數據如何通過系統流動;數據流經的地方、流經的網絡和設備以及存儲方式(永久和臨時)。還有一個問題是，創建的大部分數據(電子郵件)可能會在第三方或通過第三方存儲或傳輸，或者可能會發送給第三方，第三方本身可能會重新傳輸數據或將其合并到其他數據流中。

在映射數據流之后，下一步是對數據進行分類。哪些是機密數據?哪些是公開的數據?從保密的角度來看，哪些數據是關鍵的(如果數據被發布，企業或第三方會發生什么)?

從數據完整性(例如財務披露)的角度來看，哪些數據至關重要?從可用性的角度來看，哪些數據至關重要(例如植入的心臟起搏器)?從數據安全的角度來看，這只是數據分類。然后還必須從數據保留和數據銷毀的角度對數據進行分類。需要保存多久?如何保存它?必須將它放在哪里?數據可以導出嗎?可以刪除嗎?必須“擦除”而不是刪除數據嗎?如果要刪除數據，知道它在哪里嗎?

這些問題真的很難回答和解決，因為人們傾向于保留數據。這意味著需要將數據從一個地方移動到另一個地方——移動到U盤、硬盤或移動設備上，并通過電子郵件發送到自己的郵箱。然而人類也是懶惰的，因為花費幾個小時瀏覽文檔和電子郵件并對它們進行“分類”幾乎沒有明顯的效用，所以最終獲得大量從未分類也從未刪除的數據。或者更準確地說是大量的數據。人們沒有采用很好的工具來自動分類數據并自動刪除。如果確實有這樣的工具，那么也可能成為黑客和欺詐者的強大工具。所以，這是一個挑戰。

2.保險

網絡保險已經以這樣或那樣的形式存在了多年。隨著勒索軟件攻擊事件(以及與之相關的索賠)的增加，保險公司的應對措施是更加有選擇性地選擇投保者和投保內容，要求潛在的承保者采取某些行動作為投保的先決條件，并提高保費，以便將某些損失排除在承保范圍之外。他們還采取了狹隘的防御立場，拒絕理賠。例如與勒索軟件“損壞”的文件相關的索賠，保險公司認為這些文件沒有真正“損壞”。此外，保險公司還與數字取證和調查公司以及網絡律師事務所建立合作關系，為風險降低、風險緩解、風險轉移和事件響應提供“一站式服務”。2022年面臨的挑戰是確保保險本身和保險市場能夠應對數字市場帶來的實際威脅和挑戰。欺詐性電匯、供應鏈干擾、第三方責任、商業信譽管理以及加密貨幣損失都是新的威脅，大多數企業的保險單可能不足以應對這些威脅。此外，隨著網絡保險價格的上漲，許多中小型企業被排除在保險市場之外。最后，當前的商業網絡保險市場可能不足以解決兩個相關問題：系統供應鏈(第三方)索賠和與民族國家發起的網絡攻擊相關的索賠。現在可能是政府介入的時候了，以確保網絡保險政策是合理全面的，并且負擔得起。因此，這仍然是一個挑戰。

3.勒索軟件

勒索軟件對企業來說仍然是一個重大挑戰，不僅因為它無處不在，還因為勒索軟件攻擊可能對從上到下以及對企業的合作伙伴或客戶產生重大影響。與以前的黑客竊取數據然后利用或對外出售不同，勒索軟件攻擊者依賴于受害者支付的贖金，他們不必在竊取數據之后四處尋找買家，而是將數據(或者只是訪問該數據)出售給受害者自己。隨著通過加密貨幣進行匿名支付流程的普遍存在，勒索軟件攻擊者可能針對特定的企業、行業、計算機或數據庫進行攻擊，或者可能只是針對特定目標。勒索軟件的防御都是復雜且不全面的——無論是入侵防御、網絡分段、數據備份和恢復還是高級事件響應(包括支付)。

4.供應鏈

出于一些目的，行業專家對“供應鏈”進行了非常廣泛的定義。企業的供應鏈是企業依賴于關鍵數據、流程或服務的任何東西。軟件可以有一個相關的供應鏈，硬件也是如此。硬件、服務、人員等都是供應鏈的一部分。當人們籠統地談論“供應鏈安全”或“供應鏈彈性”時，實際上是在談論檢查所有的依賴關系和相互依賴關系，并提出一些棘手的問題，例如“如何知道該產品或服務的來源?如果數據不可用會發生什么?如果云計算不安全怎么辦?如果無法訪問數據怎么辦?”

供應鏈很難理解，也越來越難以管理。由于相互依賴關系眾多，任何實體的安全性和彈性都依賴于它所依賴的任何和所有硬件、軟件、人員、流程等的安全性和彈性。雖然第三方審計、數據保護協議和標準都可能有所幫助，但問題確實很復雜，而且很可能會持續存在。

5. 多因素身份驗證

當人們談到身份驗證時，通常指的是“授權”訪問數據、計算機、網絡或處理程序的人員是否是被允許的人員，他們是否出于被允許的目的訪問和使用數據?傳統上，使用“身份驗證”作為授權代理，通過向被授權人提供某種形式的憑證，然后提供憑證以建立授權。在這種憑證的來回傳輸過程中，可能會出現漏洞，包括中間人(MiTM)攻擊、欺騙、憑證盜竊等。此外，強身份驗證對強隱私來說是一種詛咒，因為一個經過強身份驗證的個人可以通過其憑證在其訪問的每個地方和所做的一切進行跟蹤。人們可以而且將會在身份驗證方案中做得更好，但由于身份驗證的強大功能，它通常是最普遍的攻擊對象。這是一個困難而持久的問題，這就是它成為一個主要挑戰的原因。

6. 數據保護協議

供應鏈問題的一個必然結果是邊界問題。企業通常只能解決他們所依賴的基礎設施的一小部分問題。他們的郵件由第三方云計算提供商提供。他們的銷售、基礎設施、賬單、發票、人力資源等也是如此，他們雇用顧問、獨立銷售代表、律師、供應商等;他們每個人都可以訪問數據、網絡、計算機等。對于企業直接控制之外的任何數據或流程，可以強迫第三方“做某事”來保護其數據。有時，通知數據泄露只是一項義務。有義務遵守某些數據隱私或數據安全標準。這些協議就像一顆定時炸彈一樣，直到其中一家公司遭受數據泄露或其他事件，然后起訴他們違約。此外，企業認為第三方簽署了他們保護企業數據的協議這一事實意味著是清白的。因此，企業需要重視數據保護協議的問題。

7. 國際數據隱私條例

正當人們開始就數據隱私原則(有限收集、同意、合法使用、數據生命周期、被遺忘權等)達成共識時，數據隱私法律法規變得更加復雜和難以遵守。隱私監管的另一個問題是互聯網已經變得依賴于缺乏數據隱私——Facebook、谷歌、亞馬遜、蘋果等大型科技公司依賴于海量數據的收集和分析，大量的個人數據為這些公司帶來了巨大價值和利益。數據隱私法規的問題在于，人們希望通過讓第三方為他們收集數據和關于他們的數據來獲得隱私和效用。

8.遠程工作/遠程訪問

如果說新冠疫情教會了人們什么的話，那就是遠程工作得以興起。遠程工作、遠程訪問、以及一些支持遠程辦公的工具爆炸式增長，已經在人員與數據之間造成了物理脫節。數據可以在任何地方和任何時間被訪問。這種斷開為黑客、欺詐者和其他人攻擊數據和網絡創造了機會。隨著人們需要更多的遠程服務(例如遠程醫療)并要求能夠遠程工作，問題只會變得更糟。

9.人員短缺

有些企業缺乏良好的安全措施，部分原因是工作本身的性質。良好的安全人員遵循復雜的規則，知道如何與其他人聯系并分享他們的見解，他們是 “團隊合作者”，可以在沒有任何監督的情況下工作數小時或數天。而他們本質上也是一名黑客，但永遠不會做黑客做的事情。難怪企業很難招募和激勵優秀的安全人員。

10.安全意識

一些企業表示已經對員工進行了大量的安全培訓。但實際上員工只是參加時間很短的安全培訓課程，然后每年參加一次進修課程。這是一件苦差事，及格率通常為75%到80%，這意味著他們可能有25%的出錯機率，但仍然通過了安全培訓。然而在許多情況下，員工或者是抵御網絡攻擊的第一道防線，或者是此類攻擊的推進者。在通常情況下，這兩種情況都會同時存在。企業必須找到超越安全培訓的方法，加強安全文化。當然，在重大勒索軟件攻擊事件發生之后，人們對數據安全的需求更加敏感。問題在于許多員工不知道如何維護安全或不在乎。然而在大多數時候，這是因為員工認為繞過安全要求以完成工作是一種必要的或有用的措施。因此，首席信息安全官的部分工作是找出員工繞過安全措施的方式和原因，找到幫助他們完成工作的方法。并在企業內部灌輸一種安全、好奇和關注的文化。

以上這些是企業可能在2022年面臨的十大安全挑戰。這些問題中的大多數都是難以解決的，而且必然會重演。