D1net觀察：我們日常依賴的互聯網可靠嗎，哪些攻擊可以造成互聯網的中斷，預防互聯網中斷可以采取哪些措施?企業如何面對物聯網設備遭受到勒索軟件的劫持?企業以為自己的數據很安全，但是如果和數據安全相關或者和企業關鍵信息相關的員工遭受暴力威脅，怎么辦?企業往往會根據掌握的信息制定公司戰略和做出決策，但是，企業掌握的信息可靠嗎?人工智能如火如荼，但是人工智能也可以被攻擊者利用，那么如何防止攻擊者利用人工智能傳播企業的虛假消息?據預測，到2019年，65%的全球頂級銀行將大規模地實施區塊鏈技術，但是如果區塊鏈遭到破壞，可能導致未經授權進行交易或數據泄露、資金轉移，欺詐甚至驗證欺詐交易，那么，如何避免這種情況的發生?……國際上的知名信息安全組織“信息安全論壇”經過研究和分析，發布了關于上述問題的研究報告，讓我們來了解一下，做到心中有數。

主題3：法規和技術將削弱組織機構控制能力，從而導致安全狀況惡化

在接下來的兩年中，信息安全論壇(ISF)認為，智能技術的快速發展以及國家安全和個人隱私保護不斷提高所引起的矛盾，將會削弱組織機構來控制他們個人信息的能力。

杜賓說，旨在提高國家安全的新監管法將要求通信提供商來大量收集可能泄露企業秘密的數據。組織機構將無法明確了解這些數據庫的安全措施，并且這些數據庫可能成為攻擊者的理想目標，這些攻擊者具備從數據庫中提取和利用這些存儲數據的知識和技能。

與此同時，杜賓表示，類似于歐盟“一般數據保護條例(GDPR)”，這些新的數據隱私法規將使組織機構更難監測內部員工的行為。“一般數據保護條例(GDPR)”要求組織機構公開用于監控用戶行為所使用的工具，杜賓表示，這將為惡意的內部員工提供繞過此類控制措施所需的信息。

同時，技術創新將繼續超越這些規定。杜賓表示，自動化系統中越來越成熟的人工智能(AI)將開始做出獨立決策，這些決策將會與已明確的業務規則相抵觸，破壞業務操作并產生新的安全漏洞。

盡管許多因素將超出您組織機構的直接控制范圍，但杜賓表示，業務主管和安全主管可以通過以下措施來應對這些安全威脅，包括周全的風險評估，與通信提供商的開誠布公地協商，通過法律顧問了解新法規的影響，并組建團隊采用先進技術。

監督法將泄露企業秘密

一些國家政府已經開始制定監控法案，要求通信提供商收集和存儲電子及語音通信相關的數據。信息安全論壇(ISF)預計未來兩年這一趨勢將會持續。

這一立法的目的可能是調查和監測恐怖分子和其他類似團體，但這種數據采集必然會收集到更多的信息，包括各組織機構的敏感數據。

信息安全論壇(ISF)注意到，動機明確的攻擊者將很快認識到這些數據的價值，并清楚這些數據在哪里以及如何得到它，還能夠分析、解讀和利用這些數據。這些信息可能會泄露企業的并購計劃、正在研發的知識產權以及新產品的細節。

信息安全論壇(ISF)認為，綜合以下五個因素考慮，從通信提供商竊取含有企業秘密的數據，這只是一個時間問題，而并不是能否發生的問題：

因為這是法律的規定，所以任何組織機構都無法避免他們的數據將被收集。

這些數據可能由多個外部單位管理，存儲在多個位置，每個單位應用不同的安全級別。

全球數據泄露的數量及影響日益增加，這表明數據并未得到充分保護。

試圖利用這些數據的攻擊者可能比負責保護這些數據的人有更多資金和動力。

數據分析產生的潛在價值將使其成為攻擊者的明確目標，這些攻擊者實力雄厚、技術精湛、目的明確，其中包括有組織犯罪集團、競爭對手、恐怖組織和其他國家。

為保護您的組織機構免受侵害，信息安全論壇(ISF)建議您采取以下措施：

? 在您機構運營的每個司法管轄區，都要聽取來自通信提供商就必須合法存儲元數據的建議。

? 在您的組織機構內進行協作，進行風險評估，以清楚因通信提供商丟失元數據所產生的影響。

? 與通信提供商溝通，以達成相應承擔的責任，并確定元數據安全存儲的最低要求。

? 如果數據遭到破壞，與通信提供商明確以何種方式、何時以及是否需要通知您，并共同合作，以減少由此產生的影響。

隱私條例會阻礙對來自內部威脅的監控

根據邁克菲軟件公司(McAfee)在2015年發布的一項研究，該年度43%的數據泄露是由內部人員造成的，包括用戶、管理者、信息技術(IT)專業人員和承包商。那么，用戶行為分析(UBA)工具(用來標記用戶異常行為的軟件)變得越來越受歡迎，就不足為奇：市場研究機構MarketAndMarkets Research的2016年報告預測，用戶行為分析(UBA)工具的銷售額將增長近600%，從2016年的1.317億美元到2021年達到9.083億美元。

但信息安全論壇(ISF)表示，新的隱私條例(如“一般數據保護條例(GDPR)”、“韓國個人信息保護法(PIPA)”、“香港個人資料(私隱)條例”及“新加坡個人資料保護法”等)有可能會限制使用這些監控工具。這些條例規定雇主使用這些監控工具的行為必須受到控制，而且要對用戶透明。例如，根據“一般數據保護條例(GDPR)”規定，除非員工被告知并同意對其資料進行收集分析，否則禁止對員工進行此項操作。杜賓指出，雖然透明和創造信任文化是好的，但這些規定將使惡意內部員工可以逃避用戶行為分析(UBA)工具的監控。

為了解決內部威脅和清楚新法規的內容，信息安全論壇(ISF)建議您做以下工作：

? 就您組織機構運營的每個司法管轄區內，了解一些針對用戶資料分析限制的法律建議。

? 建立嚴格的工作程序(制定紀律處分規則)，對員工監控的行為保持透明。

? 讓員工了解內部風險，并對他們進行培訓，使其能夠辨別可疑行為。

? 對內部員工的訪問權限進行更加規則和更加嚴格的審核，確保不同角色有恰當的訪問權限。

急于部署人工智能(AI)會導致意想不到的后果

人工智能(AI)系統是自動化領域的重大創新。自主學習的能力將使其能夠在不同領域自動完成日益復雜和非重復性任務，包括制造業、營銷和咨詢等領域。但是，杜賓指出，雖然人工智能(AI)已不再處于起步階段，但在未來的兩三年內，它也只能算進入青春期。這使得它容易出錯：例如，學習錯誤的或不完整的信息可能得出不準確的結論。

當一個組織機構使用人工智能，而其結果可能影響到該機構的聲譽或績效時，人工智能所發揮的作用可能無法預料。舉例如下：

? 引入漏洞風險。人工智能(AI)系統可以與客戶或供應商建立起新的關系，并會連接到不安全的外部網絡。

? 命令的錯誤解釋。智能助手可能會獲取錯誤的對話或對指令產生誤解，然后導致執行不正確的命令。

為了保護您的組織機構免受此類威脅，信息安全論壇(ISF)建議您采取以下三個步驟：

? 在整個組織機構內進行協調合作，以確定哪些領域將從部署人工智能(AI)中獲益，并且何時會獲益

? 招聘、培養和留住那些掌握人工智能(AI)系統技能的人才

? 與行業同仁和學術機構合作，開發出部署人工智能(AI)系統的最佳方法

? 更新管理結構以有效地管理人工智能(AI)系統(例如，將網絡安全納入到設計之中;對人工智能(AI)系統所做的決策進行監督;如果人工智能(AI)系統發生嚴重事故，確保可以手動關閉系統)

本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的未来两年内的九大信息安全威胁（三）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。