D1net观察:我们日常依赖的互联网可靠吗,哪些攻击可以造成互联网的中断,预防互联网中断可以采取哪些措施?企业如何面对物联网设备遭受到勒索软件的劫持?企业以为自己的数据很安全,但是如果和数据安全相关或者和企业关键信息相关的员工遭受暴力威胁,怎么办?企业往往会根据掌握的信息制定公司战略和做出决策,但是,企业掌握的信息可靠吗?人工智能如火如荼,但是人工智能也可以被攻击者利用,那么如何防止攻击者利用人工智能传播企业的虚假消息?据预测,到2019年,65%的全球顶级银行将大规模地实施区块链技术,但是如果区块链遭到破坏,可能导致未经授权进行交易或数据泄露、资金转移,欺诈甚至验证欺诈交易,那么,如何避免这种情况的发生?……国际上的知名信息安全组织“信息安全论坛”经过研究和分析,发布了关于上述问题的研究报告,让我们来了解一下,做到心中有数。
主题2:所信赖的信息完整性已缺失
为了做出正确的决策,您的企业依赖于准确可靠的信息。如果信息的完整性受到损坏,那么您的企业也会同样遭遇损害。由于“假消息”开始出现在主要政客身上,最近这个问题已经突显出来。信息安全论坛(ISF)认为,在未来两年内,攻击者将散播谣言或歪曲内部信息,希望以此来诋毁对方的声誉或降低其运营效率,获得竞争优势或金融优势。
“随着数据量的增加,任何人都不可能绝对保证数据的完整性,”杜宾说。“我们如何与企业合作,以确保我们可以利用他们的信息来做出尽可能准确的决策?我们将以首席信息安全官(CISO)的方式,特别是在企业内部,来看待这一变化。很久以来,我们就认为这是一个信息技术(IT)安全的问题,但是首席信息安全官一直在关注自己的角色,以及信息技术安全如何发展来更多地影响到业务工作,这更类似于在信息领域的风险管理。”
杜宾表示,组织机构可以通过积极的手段来减少不良信息的影响:监控他人在网络上对企业的看法,并跟踪内部信息的变化,以提供预警信号。
自动生成虚假消息会立即赢得可信度
人工智能(AI)角色的发展产生了聊天机器人,其很快将变得与真人聊天难以区分。攻击者能够利用这些聊天机器人来传播针对商业机构的虚假信息:无需破坏一个企业的数字系统,攻击者可通过散播令人信服的假消息来破坏该企业的声誉,这些假消息可能涉及企业的运作情况或产品。一个攻击者可以部署数百个聊天机器人,每个机器人都会传播恶意信息,然后这些谣言就在社交媒体和新闻站点上传播。
攻击行为不仅仅针对声誉问题。虚假消息也可以用来操纵公司的股价。去年二月份,德国支付公司Wirecard AG发现,有公司伪造了一份“详细叙述”了欺诈行为的报告,这是十分困难的事情。虽然后来该报告被证明是伪造的,但该公司的股价由此暴跌了三个月才恢复。
您将无法阻止聊天机器人散播关于贵公司的虚假信息,但认识到安全威胁并制定事件应急响应计划就可以减轻所受到的损害。
为了保护您的组织机构免受侵害,信息安全论坛(ISF)建议您做以下工作:
• 制定一些方案,将虚假信息散播到整个事件管理过程中。
• 在大型组织机构发布公告或重大事件发生前后,扩大对社交媒体的监控。
• 与行业机构合作游说政府和监管机构,研究以何种方式来识别和起诉散播假消息和错误信息的行为。
• 可以考虑增加现有社交媒体的投入,以主动抵制错误信息的散播(例如鼓励员工传播正确的消息和上报可疑的帖子。)
虚假信息会损害企业绩效
各机构越来越依赖于数据来推动他们的决策,这意味着不法分子和竞争对手可以将错误信息提供给他们,以造成安全威胁。信息安全论坛(ISF)认为,在未来两年内,三种针对信息完整性的攻击将变得司空见惯:
• 篡改分析系统所使用的大数据集。
• 操纵财务记录和报告,或银行帐户详细信息。
• 在信息披露之前进行修改。
例如,如果一个公用事业公司,分析智能电表的数据,以平衡其发电量与目前的用电需求。攻击者可以操纵智能电表数据,错误地显示出一个高用电需求。这种操纵行为可以导致发电量激增。如果电量激增足够大,可能导致供电电网发生故障。
伪造数据或数据失真也可能会对药物研究产生重大影响,药物研究越来越多地依赖大数据分析,以提高新药的建模和试验速度。
杜宾表示,组织机构需要现在就开始行动,以确保通过信息风险评估可以解决数据完整性攻击所产生的可能和影响。
针对一些准备工作,信息安全论坛(ISF)建议您采取以下措施:
• 采取措施来验证和维护关键数据库的完整性。
• 将受到侵害的不完整信息纳入商业风险评估中;让整个组织机构中的利益相关者来衡量其业务所受到的影响。
• 与同行协作,共享信息完整性攻击的情报。
• 在公布事实证据以反击虚假声明之前,向法律专业人士咨询。
• 利用“联合身份和访问管理(FIAM)”系统和内容管理系统(CMS)等工具监控敏感信息的访问和更改。
颠覆性的区块链技术将打破已有的信任
许多组织机构正在尝试区块链技术,因为它预示着可以保证交易的完整性,而无需(在交易中心的)可信第三方。
去年在“哈佛商业评论”期刊中的一篇文章--“区块链革命:比特币背后的技术是如何改变金钱、商业和世界”的作者,唐·塔普斯科特(Don Tapscott)和年轻的亚历克斯·塔普斯科特(Alex Tapscott)认为,“我们的研究项目持续了两年,采访了数百位区块链专家,所收集的强有力的证据表明,该区块链技术可能会以更深远的方式改变企业、政府和社会。”
塔普斯科特表示,到2019年,65%的全球顶级银行将大规模地实施区块链技术。
但是,杜宾指出,像任何技术一样,区块链技术也将容易受到破坏。潜在的漏洞包括弱加密、散列和密钥管理;程序代码写得不好;权限许可不正确和业务规则不完整。如果一个区块链遭到破坏,信息安全论坛(ISF)说,所受影响客户、高管层和用户的信任将受到破坏,并且将需要付出极大的努力来进行重建。
遭受破坏的区块链可能导致未经授权进行交易或数据泄露、资金转移,欺诈甚至验证欺诈交易。
为了避免这种情况发生,杜宾表示,必须注意在区块链应用的各个阶段,包括设计、构建、实施和操作阶段,都将信息安全融入其中。业务经理、开发人员和信息安全专业人员之间需要密切合作。
信息安全论坛(ISF)建议您做以下工作:
任命一个发起人或指导委员会,广泛征求意见,并就整个组织机构内采用和使用区块链技术做出决定。
培训员工如何安全使用区块链技术,并能够发现可疑活动。
评估外部单位使用区块链的安全控制(例如,审核其安全控制的强度,如加密密钥管理和访问控制措施)。
与行业论坛和专家沟通,以促进制定安全操作准则和安全实施标准。
咨询法律人士以了解使用区块链技术的合同含义。
在基于区块链技术应用的设计、实施和操作过程中,需要将信息安全要求纳入其中。
京公网安备 11010502049343号