文|趙淑鈺 中國信通院互聯(lián)網(wǎng)法律研究中心高級研究員
2023年2月美國兩黨政策中心(Bipartisan Policy Center)發(fā)布了題為《網(wǎng)絡(luò)安全中最大的風(fēng)險(xiǎn)2023》的報(bào)告,以期為企業(yè)和政府決策者提供識別并管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的框架。
一、宏觀網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
兩黨政策中心提出了最主要的八項(xiàng)宏觀網(wǎng)絡(luò)安全風(fēng)險(xiǎn),并認(rèn)為這八項(xiàng)風(fēng)險(xiǎn)是最具影響力的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
一是不斷變化的地緣政治環(huán)境。受到國際沖突加劇和民族主義的廣泛影響,全球多邊地緣政治格局加速演變。俄羅斯和烏克蘭的戰(zhàn)爭導(dǎo)致網(wǎng)絡(luò)攻擊和對關(guān)鍵基礎(chǔ)設(shè)施的破壞日益增多,并且這場戰(zhàn)爭有蔓延到?jīng)_突地區(qū)以外的風(fēng)險(xiǎn)。
二是網(wǎng)絡(luò)軍備競賽加速。網(wǎng)絡(luò)安全的基本性質(zhì)正在發(fā)生變化,但幾十年前的網(wǎng)絡(luò)攻擊方式仍然有效,隨著攻擊者的每一次創(chuàng)新,防御者必須找出針對過去、現(xiàn)在和未來網(wǎng)絡(luò)攻擊的防御方法,在攻擊者和防御者之間展開“軍備競賽”。隨著技術(shù)的進(jìn)步和數(shù)字化的發(fā)展,2023年網(wǎng)絡(luò)安全專業(yè)人員要重點(diǎn)保護(hù)的領(lǐng)域?qū)⒊尸F(xiàn)指數(shù)級增長。
三是全球經(jīng)濟(jì)不穩(wěn)定。股市波動(dòng)和高通脹影響了全球需求,并引發(fā)了對全球供應(yīng)鏈和世界經(jīng)濟(jì)關(guān)鍵要素的沖擊。對2023年市場繼續(xù)波動(dòng)和利率上升的預(yù)期加劇了不穩(wěn)定的地緣政治環(huán)境,并給整個(gè)網(wǎng)絡(luò)安全部門帶來了風(fēng)險(xiǎn),包括人員、預(yù)算等方面。
四是重疊、沖突和主觀化的合規(guī)要求。在美國乃至全球范圍,美國公司需要遵守不同的地方當(dāng)局、州政府、聯(lián)邦政府發(fā)布的網(wǎng)絡(luò)安全、數(shù)據(jù)安全要求,不同地方的法律要求各不相同。隨著法律法規(guī)的增加,可能會給本地的跨國公司帶來更大合規(guī)挑戰(zhàn)。
五是公司治理滯后。盡管大型公司已在公司董事會和高級領(lǐng)導(dǎo)職位中增加網(wǎng)絡(luò)安全人才,但許多公司仍未設(shè)立此類職位。公司管理人員缺乏足夠的專業(yè)知識來有效管理網(wǎng)絡(luò)安全,使得公司處于一個(gè)不確定和充滿挑戰(zhàn)的經(jīng)營環(huán)境中。其中,中小企業(yè)面臨更大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
六是缺乏投資、準(zhǔn)備和韌性。目前,公共部門和私營部門都沒有對重大網(wǎng)絡(luò)安全事故進(jìn)行充分準(zhǔn)備和投資,在2023年仍然是一個(gè)巨大的漏洞。為危機(jī)準(zhǔn)備的自滿心態(tài)也可能導(dǎo)致不利的財(cái)務(wù)后果或者機(jī)密信息的丟失,可能會導(dǎo)致數(shù)據(jù)泄露、網(wǎng)絡(luò)釣魚攻擊和其他風(fēng)險(xiǎn)。對第三方和第四方運(yùn)營商的依賴也可能給網(wǎng)絡(luò)系統(tǒng)帶來額外的風(fēng)險(xiǎn)。
七是脆弱的基礎(chǔ)設(shè)施。美國關(guān)鍵基礎(chǔ)設(shè)施尤其面臨著網(wǎng)絡(luò)安全威脅,美國CISA將關(guān)鍵基礎(chǔ)設(shè)施定義為“社會賴以維持國家安全、經(jīng)濟(jì)活力以及公共健康和安全的資產(chǎn)、系統(tǒng)、設(shè)施、網(wǎng)絡(luò)和其他要素”。關(guān)鍵基礎(chǔ)設(shè)施中很多系統(tǒng)都嚴(yán)重依賴國家和地方機(jī)構(gòu)以及可能缺乏必要網(wǎng)絡(luò)安全控制的第三方和第四方供應(yīng)商,這種依賴性可能導(dǎo)致巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
八是人才短缺。“大辭職”、遠(yuǎn)程工作、云計(jì)算、人工智能、消費(fèi)者通脹壓力以及其他因素導(dǎo)致很多機(jī)構(gòu)難以留住網(wǎng)絡(luò)安全人才。目前,安全運(yùn)營中心需要不斷雇傭熟練的員工來抵御云存儲和智能驅(qū)動(dòng)中的網(wǎng)絡(luò)攻擊威脅。如果沒有掌握熟練技能的網(wǎng)絡(luò)安全人員來應(yīng)對這些新挑戰(zhàn),相關(guān)機(jī)構(gòu)的安全防御能力將很快下降。
二、顯著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
顯著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是宏觀網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之外值得重點(diǎn)關(guān)注的風(fēng)險(xiǎn)類型,其又分為戰(zhàn)略層面風(fēng)險(xiǎn)和操作層面風(fēng)險(xiǎn)。戰(zhàn)略層面風(fēng)險(xiǎn)是代表網(wǎng)絡(luò)安全問題宏觀層面的已識別風(fēng)險(xiǎn),雖然沒有與其相關(guān)的具體威脅,但隨著時(shí)間的推移此類風(fēng)險(xiǎn)可能會成倍增加。操作層面風(fēng)險(xiǎn)代表網(wǎng)絡(luò)安全運(yùn)營的微觀威脅,來自實(shí)踐部門的直接經(jīng)驗(yàn)。
(一)戰(zhàn)略層面風(fēng)險(xiǎn)
1、個(gè)人可識別信息(PII)的第三方保護(hù)仍需加強(qiáng)。PII是指可用于識別個(gè)人身份的任何信息,數(shù)據(jù)控制者通常會出于各種目的與第三方(如服務(wù)提供商或合作伙伴)共享PII,因此保護(hù)個(gè)人隱私安全的立法和措施仍需加強(qiáng)和完善。
2、缺乏統(tǒng)一定義的安全標(biāo)準(zhǔn)。在網(wǎng)絡(luò)安全背景下,安全標(biāo)準(zhǔn)被定義為合理和謹(jǐn)慎的網(wǎng)絡(luò)安全做法。但由于各行業(yè)和經(jīng)濟(jì)體的安全需求廣泛,因此并沒有產(chǎn)生公認(rèn)的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括定期更新軟件和安全系統(tǒng),培訓(xùn)員工,采用防止未經(jīng)授權(quán)訪問敏感信息的政策和程序等。
3、違約規(guī)模和嚴(yán)重程度增加。網(wǎng)絡(luò)犯罪統(tǒng)計(jì)數(shù)據(jù)表明,網(wǎng)絡(luò)攻擊的數(shù)量每年增加15%,并且,遠(yuǎn)程工作也為網(wǎng)絡(luò)安全帶來的新的挑戰(zhàn),數(shù)據(jù)泄露可能危及家庭網(wǎng)絡(luò)和個(gè)人設(shè)備。隨著全球威脅的增長,幾乎每個(gè)行業(yè)都必須實(shí)施新的戰(zhàn)略并迅速適應(yīng),否則,攻擊者可能會調(diào)整方法以應(yīng)對新措施。
4、投資者安全透明度規(guī)則需落實(shí)。2022年,美國證券交易委員會提出了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理規(guī)則,要求投資顧問和上市公司披露網(wǎng)絡(luò)事件。美國兩黨政策中心支持這一行動(dòng),并認(rèn)為需要更清楚地說明事件可報(bào)告的閾值,以及事件發(fā)生的時(shí)間、被發(fā)現(xiàn)的時(shí)間和達(dá)到可報(bào)告閾值的時(shí)間差。
5、白領(lǐng)網(wǎng)絡(luò)犯罪研究需加強(qiáng)。白領(lǐng)網(wǎng)絡(luò)犯罪是指為獲取經(jīng)濟(jì)利益而在網(wǎng)上進(jìn)行的非暴力的非法活動(dòng),包括知識產(chǎn)權(quán)盜竊、計(jì)算機(jī)黑客、信用卡欺詐、身份盜竊、網(wǎng)絡(luò)釣魚等。聯(lián)邦法律對這類犯罪規(guī)定了嚴(yán)厲的懲罰。為了加強(qiáng)對網(wǎng)絡(luò)犯罪的應(yīng)對,需要在恢復(fù)數(shù)字證據(jù)等方面有經(jīng)驗(yàn)豐富的計(jì)算機(jī)專家。由于白領(lǐng)網(wǎng)絡(luò)犯罪在刑事司法中是一個(gè)相對較新的概念,因此很少有關(guān)于技術(shù)對白領(lǐng)犯罪的影響以及白領(lǐng)犯罪行為的誘因的研究。
6、強(qiáng)制互操作性要求需落實(shí)。美國國會起草了在線平臺的互操作性要求,要求它們通過應(yīng)用程序編程接口(API)開放服務(wù),以增加市場競爭。盡管這項(xiàng)立法尚未通過,但它表明了該行業(yè)新的監(jiān)管方式的潛力。這種整合可以促進(jìn)共同標(biāo)準(zhǔn)的實(shí)現(xiàn),從而提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施的穩(wěn)定性。
7、無效的信息共享。通過積極主動(dòng)的信息共享進(jìn)行跨部門合作,對于提高國家抵御網(wǎng)絡(luò)攻擊的能力越來越重要。一些著名的網(wǎng)絡(luò)威脅情報(bào)報(bào)告機(jī)制包括結(jié)構(gòu)化威脅信息表達(dá)(STIX?)以及MITRE的對抗戰(zhàn)術(shù)、技巧和常識框架(ATT&CK?)。在政府機(jī)構(gòu)和公司之間,阻礙信息共享的問題是報(bào)告的及時(shí)性、數(shù)據(jù)的相關(guān)性和復(fù)雜性。
8、社會工程攻擊。社會工程攻擊會利用心理學(xué)操縱人們作出共享敏感信息或是允許訪問相關(guān)系統(tǒng)的行為。與其說是網(wǎng)絡(luò)攻擊,不如說是一場心理游戲,全世界有數(shù)百萬人上當(dāng)受騙,成為受害者。許多欺詐者的目標(biāo)是網(wǎng)絡(luò)安全意識有限的老年人。
9、加密貨幣成為犯罪的輔助手段。加密貨幣在犯罪活動(dòng)中使用非常普遍,例如比特幣易于轉(zhuǎn)移和存儲,可以在世界任何地方匿名買賣,并且交易是永久的。在勒索軟件交易中,大多數(shù)黑客都要求使用比特幣支付,這種貨幣也用于暗網(wǎng)交易。網(wǎng)絡(luò)犯罪在加密貨幣本身也非常普遍,在過去幾年中,加密欺詐激增,隨著加密貨幣作為網(wǎng)絡(luò)犯罪支付手段,犯罪靈活性增加,限制了當(dāng)局追蹤和扣押非法資產(chǎn)的能力。
10、商業(yè)監(jiān)控構(gòu)成對隱私保護(hù)的威脅。使用可追蹤和監(jiān)控個(gè)人活動(dòng)的商業(yè)產(chǎn)品對隱私和網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。行為者可以利用商業(yè)上的產(chǎn)品進(jìn)行間諜活動(dòng)。目前,商業(yè)監(jiān)控產(chǎn)品的數(shù)量已使得當(dāng)局很難監(jiān)管和控制使用這些產(chǎn)品的人。
(二)操作層面風(fēng)險(xiǎn)
1、Cookie盜竊。Cookie盜竊是一種中間人攻擊,它捕獲用戶的Cookie,以接管用戶的賬戶。此信息可能包括與特定登錄相關(guān)聯(lián)的用戶名、密碼或會話ID。這通常發(fā)生在公共WIFI網(wǎng)絡(luò)上,但也可以通過直接安裝在機(jī)器上的惡意軟件或跨站點(diǎn)腳本捕獲。
2、身份驗(yàn)證。身份驗(yàn)證在一些重要的系統(tǒng)中用來區(qū)分用戶,例如金融、醫(yī)療衛(wèi)生或政府服務(wù)。目前的重大挑戰(zhàn)是,不法分子使用遠(yuǎn)程身份驗(yàn)證工具竊取用戶身份,導(dǎo)致了數(shù)十億美元的損失。
3、對開源軟件的依賴。在網(wǎng)絡(luò)安全方面,開源軟件允許用戶檢查源代碼并識別任何可能存在的漏洞。當(dāng)發(fā)現(xiàn)一個(gè)錯(cuò)誤時(shí),它會影響所有包含該代碼的系統(tǒng)。如果開發(fā)人員不積極維護(hù)開源軟件,就會導(dǎo)致無法修補(bǔ)的漏洞。開源軟件也容易成為分發(fā)惡意軟件的一種方式。
4、內(nèi)部威脅、勒索、未經(jīng)驗(yàn)證的信任。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)確定了四種類型的內(nèi)部威脅:疏忽或意外、故意、串通和第三方威脅。除了存在于內(nèi)部的威脅外,不同類型的合作也可能增加內(nèi)部勾結(jié)的風(fēng)險(xiǎn),這些操作會導(dǎo)致對資本、敏感信息或?qū)S袛?shù)據(jù)的勒索。未經(jīng)驗(yàn)證的信任是指內(nèi)部人員利用其訪問權(quán)限傳播錯(cuò)誤信息、惡意軟件或?qū)嵤┚W(wǎng)絡(luò)釣魚詐騙,或者訪問一些薄弱的系統(tǒng)。
5、惡意軟件商業(yè)化。許多犯罪分子正轉(zhuǎn)向惡意軟件即服務(wù)和勒索軟件即服務(wù)(RaaS)來滿足黑客需求,目前此類程序可以很容易地在暗網(wǎng)上找到。
6、支持內(nèi)置應(yīng)用程序安全防范措施。公司和其他人必須在技術(shù)開發(fā)過程中對安全因素進(jìn)行事前考慮。雖然內(nèi)置安全程序可能需要更長的時(shí)間,而且代價(jià)更高。但目前對網(wǎng)絡(luò)安全的日益重視,此種措施將更容易實(shí)現(xiàn)。
7、基礎(chǔ)控制失效。基礎(chǔ)控制是指構(gòu)成組織整體安全態(tài)勢基礎(chǔ)的基本安全措施,包括訪問控制、密碼和網(wǎng)絡(luò)安全措施。隨著時(shí)間推移,需要定期評估基礎(chǔ)控制措施,以確保其有效。雖然基本控制對于計(jì)算機(jī)系統(tǒng)來說已經(jīng)足夠復(fù)雜,但相關(guān)技術(shù)在更新系統(tǒng)方面仍面臨挑戰(zhàn)。
8、證書受損。多年來,證書受損的危險(xiǎn)主要局限于密碼。但近年來,不法分子也發(fā)現(xiàn)了破壞一些多因素身份驗(yàn)證(MFA)的工具。傳統(tǒng)的密碼攻擊側(cè)重于暴力攻擊和憑證填充,現(xiàn)在已經(jīng)被更復(fù)雜的網(wǎng)絡(luò)釣魚攻擊所加強(qiáng)。
9、數(shù)據(jù)解密。數(shù)據(jù)加密在網(wǎng)絡(luò)安全中極其重要。許多用戶認(rèn)為,如果他們對數(shù)據(jù)進(jìn)行加密,數(shù)據(jù)就是安全的。然而,一些加密算法已經(jīng)被破壞,一些秘鑰也可以通過暴力強(qiáng)制打開。隨著加密算法被破解,系統(tǒng)必須更新更復(fù)雜的加密代碼。
聲明:本文來自CAICT互聯(lián)網(wǎng)法律研究中心,版權(quán)歸作者所有。