2008年,犯罪分子竊取了諾基亞塞班手機(jī)操作系統(tǒng)的部分源碼,其中包括在軟件安裝之前,確保其軟件的來源的合法性的加密密鑰。據(jù)報(bào)道,諾基亞曾支付數(shù)百萬歐元給犯罪分子,期望他們不要公開密鑰,此時(shí)的諾基亞手機(jī)操作系統(tǒng)已經(jīng)主宰了全球手機(jī)市場,并被多個(gè)設(shè)備制造商使用。
這就是最近在芬蘭曝光的勒索案,目前案件仍在調(diào)查中。在2011年,Windows Phone操作系統(tǒng)成為諾基亞的主要智能手機(jī)軟件,11年4月,微軟收購了諾基亞的手機(jī)和服務(wù)業(yè)務(wù)。
然而大部分的企業(yè)并不僅僅依賴于單一的加密密鑰,卻依賴于一個(gè)統(tǒng)一的存儲和管理密鑰,從而簡化他們的加密基礎(chǔ)架構(gòu)的管理。
“適當(dāng)?shù)拿荑€管理是非常重要的,” CipherCloud加密服務(wù)的首席信任官Bob West表示,(他也擔(dān)任金融行業(yè)中的首席信息安全官)“我在之前的公司做過一個(gè)項(xiàng)目,有40%的SSH密鑰被公布在互聯(lián)網(wǎng)上。”
那些掌握關(guān)鍵密鑰并且擁有無限制訪問權(quán)限的員工是另外的一個(gè)擔(dān)心。Terry Childs,舊金山電腦技術(shù)員,曾讓整個(gè)城市無法訪問自己的工資單,并且在執(zhí)法系統(tǒng)中沒有記錄,用他老板的話說是“殺手锏”,他可以訪問市政廳的系統(tǒng),并且可以搞定廣域網(wǎng)FiberWAN網(wǎng)絡(luò)。盡管Childs在2010年被判有4年的徒刑,然而導(dǎo)致這個(gè)情況發(fā)生,則是舊金山政府IT部門的錯(cuò)誤導(dǎo)致的,他們并沒有意識到集中管理密鑰的危險(xiǎn)——在整個(gè)案例中,就是用密碼進(jìn)入了這些系統(tǒng)。(見圖1)
部署仍然很落后
盡管有密鑰丟失、單點(diǎn)故障和內(nèi)鬼種種問題,然而因?yàn)閿?shù)據(jù)未被加密而丟失則是一個(gè)更大的風(fēng)險(xiǎn),云基礎(chǔ)架構(gòu)提供商Virtustream的CISO Pete Nico-letti這么認(rèn)為。“你應(yīng)該擔(dān)心是否已經(jīng)做好了加密,然后再確保你能夠管理其安全性。”
當(dāng)前,大部分的Virtustream的客戶,都要求擁有5年以上云服務(wù)提供商來加密他們的數(shù)據(jù),加密技術(shù)對于很多客戶而言就是確保他們做到了合規(guī)的要求。“加密應(yīng)當(dāng)被認(rèn)為是安全性最佳的實(shí)踐,但是很多的客戶卻認(rèn)為‘有更好,沒有也沒關(guān)系’,他們將很多其他方法的優(yōu)先級放在加密之前,”他說道。
雖然企業(yè)不應(yīng)該將加密認(rèn)為是一種萬能的方法,但是很多企業(yè)的確應(yīng)該通過更廣泛的部署加密系統(tǒng)提高他們的數(shù)據(jù)保護(hù)層次。Virtustream已經(jīng)部署了加密來隔離和保護(hù)客戶的數(shù)據(jù),并且限制他們自己的員工訪問數(shù)據(jù),這讓黑客偷取這些信息變得很困難。“假設(shè)這些加密的數(shù)據(jù)被偷了,公司可以將注意力集中在尋找哪里出現(xiàn)了漏洞上,而不是手忙腳亂的應(yīng)對泄漏帶來的危機(jī)”,Nicoletti說道。
對于那些希望加強(qiáng)防御能力的企業(yè)而言,他們認(rèn)為加密讓系統(tǒng)變的更復(fù)雜。正是因?yàn)檫@樣,只有少數(shù)公司廣泛地部署了數(shù)據(jù)保護(hù)方案。Ponemon Institute 2013年的“全球加密趨勢研究”報(bào)告中顯示,在4802個(gè)被調(diào)研對象中,只有30%業(yè)務(wù)和IT主管[注]所在的組織廣泛地應(yīng)用了加密技術(shù)。
盡管當(dāng)數(shù)據(jù)泄漏的時(shí)候加密技術(shù)帶來的好處是明顯的,但是根據(jù)SafeNet 7月發(fā)布的Q2 Breach Level Index報(bào)告中(+微信關(guān)注網(wǎng)絡(luò)世界),在237家有數(shù)據(jù)泄漏的企業(yè)中(基于公開的來源),其中只有10家做了數(shù)據(jù)加密。那些報(bào)告數(shù)據(jù)泄漏的事故中,大概涉及1.75億條數(shù)據(jù)記錄,只有2條(不到1%)可被認(rèn)為是“安全的泄漏”,也就是數(shù)據(jù)通過加密、密鑰管理、授權(quán),讓那些想要竊取信息的人望而卻步。
“僅僅有一小部分企業(yè)在這塊做的不錯(cuò),”Enterprise Strategy Group的高級研究分析師Jon Oltsik說道,“另外一大部分僅僅是戰(zhàn)術(shù)上的,且?guī)е鞣N不愿意。”
通訊過程加密已經(jīng)成為很多企業(yè)的標(biāo)準(zhǔn)。但是,不安全的通信過程仍然存在,尤其是隨著移動(dòng)設(shè)備的增加。2013年10月至11月,HP安全研究部從全球2000家公司中抽樣了600家公司,測試了2100個(gè)移動(dòng)應(yīng)用,其中有18%的應(yīng)用,它們一些敏感操作并沒有使用安全的HTTP隧道,例如登錄,還有18%的應(yīng)用沒有正確地使用HTTPS和SSL技術(shù)。
通訊過程加密是最簡單的部分。加密存儲的數(shù)據(jù),通常稱為“休眠的數(shù)據(jù)”——涉及一系列復(fù)雜的任務(wù),包括分發(fā)密鑰、對數(shù)據(jù)進(jìn)行分類、確保終端的應(yīng)用對數(shù)據(jù)的可讀取性。通常而言,加密存儲的數(shù)據(jù)聚焦在四個(gè)位置:筆記本電腦、智能手機(jī)、平板電腦、內(nèi)部管理的數(shù)據(jù)庫和存儲在云中的數(shù)據(jù)。
數(shù)據(jù)遷移
由于筆記本電腦經(jīng)常丟失,每一個(gè)移動(dòng)PC都應(yīng)當(dāng)把加密作為理所當(dāng)然的事,Gartner安全和風(fēng)險(xiǎn)管理團(tuán)隊(duì),技術(shù)專家領(lǐng)域的分析師Erik Heidt說道。“這已經(jīng)不是1999年了,不對筆記本電腦和移動(dòng)終端加密是沒有道理的。但仍然有很多企業(yè)沒有加密電腦硬盤,而如果你不加密,你肯定已經(jīng)是落后了”,Heidt說道。
很多企業(yè)顯然并沒有把這作為預(yù)防數(shù)據(jù)丟失的預(yù)防措施。數(shù)據(jù)顯示,只有30%的被偷的筆記本電腦擁有加密的硬盤,根據(jù)2010年P(guān)onemon的標(biāo)桿報(bào)告顯示,“丟失的筆記本電腦有幾十億美金的損失,”基于對329家美國公司做了調(diào)研。(這個(gè)報(bào)告由Inter贊助,僅研究了丟失筆記本電腦的損失)。在過去的12個(gè)月中,被調(diào)研的公司平均損失了263臺筆記本電腦,每丟失一臺預(yù)計(jì)損失49246美金,且其中數(shù)據(jù)損失占到其損失的80%。根據(jù)調(diào)查結(jié)果顯示,擁有敏感或者機(jī)密數(shù)據(jù)的設(shè)備,通常擁有加密的硬盤,但往往也是容易被偷的。
與筆記本電腦相比,加密移動(dòng)終端會更困難,Heidt說道,需要的不僅僅是加密的數(shù)據(jù)存儲,還包括數(shù)據(jù)丟失保護(hù)技術(shù),甚至是,容器技術(shù)。“你應(yīng)該支持更多的技術(shù)——多種終端以及它們上面的多種操作系統(tǒng),”他說道,“所以從復(fù)雜性角度而言它是更為困難的。”
本地的數(shù)據(jù)庫是另一個(gè)通常需要加密的地方,加密之后需要進(jìn)行備份和VPN傳輸,根據(jù)Ponemon的研究顯示。因?yàn)閿?shù)據(jù)需要存儲到云端,這樣就變得更為復(fù)雜。大量的企業(yè),例如CipherCloud提供一種技術(shù)可以在數(shù)據(jù)傳輸?shù)皆贫酥斑M(jìn)行加密,并且創(chuàng)造了一種可以對數(shù)據(jù)進(jìn)行搜索和處理的技術(shù),哪怕數(shù)據(jù)做了加密。
隨著企業(yè)收集越來越多的數(shù)據(jù),且信息又是分布在用戶的手機(jī)、或者云端,在今天這個(gè)被數(shù)據(jù)包圍的環(huán)境下,企業(yè)需要量化的方式部署加密系統(tǒng)。
“對于今天的企業(yè),由云、移動(dòng)、大數(shù)據(jù)[注]帶了很多變革,這些影響它們制定數(shù)據(jù)保護(hù)戰(zhàn)略,”加密服務(wù)提供商Vormetric的產(chǎn)品管理負(fù)責(zé)總裁Derek Tumulak說道。“若采取方式不正確,你將無法在這些大趨勢下獲得收益。”
從政策到流程
通常企業(yè)保護(hù)數(shù)據(jù)的方法是盤點(diǎn)企業(yè)的數(shù)據(jù)資產(chǎn),分析可能對這部分?jǐn)?shù)據(jù)做出的危害,并且創(chuàng)建策略。企業(yè)同樣也需要知道,什么類型的終端和應(yīng)用可以被信任,并且將策略應(yīng)用各種終端設(shè)備和云的連接上,密鑰管理服務(wù)提供商Venafi的安全戰(zhàn)略副總裁Kevin Bocek說道。
“一切都源于你所擁有的信息,” Bocek說道。“大部分與我們合作的公司并不知道它們有多少密鑰,它們被用在哪里加密,以及哪些應(yīng)用和終端是可以被信任的。”
對于密鑰管理,企業(yè)應(yīng)當(dāng)引起重視,毫無疑問這是一個(gè)加密系統(tǒng)的最重要的部分,尤其作為一個(gè)組織,加密越多的數(shù)據(jù),會讓基礎(chǔ)架構(gòu)變得更為復(fù)雜。“你會發(fā)現(xiàn)你需要加密的也越來越多,”SafeNet的首席戰(zhàn)略官Tsion Gonen說道,“并且你會發(fā)現(xiàn)你有大量的密鑰在應(yīng)用,而且沒有一個(gè)集中的管理平臺。”一些企業(yè)當(dāng)前管理著由15個(gè)系統(tǒng)產(chǎn)生的密鑰。(見圖2)
廠商正在嘗試解決密鑰管理的問題,但是加密系統(tǒng)之間的互操作性仍然欠缺。OASIS的密鑰管理協(xié)作協(xié)議(KMIP)用于加密產(chǎn)品之間的信息流的標(biāo)準(zhǔn)化和通信,將來可以解決互通性的問題。在2月,11個(gè)加密和軟件廠商——Dell、IBM、Oracle、SafeNet、Thales e-Security和Vormetric,以及其他一些公司展示了它們之間的協(xié)同工作,但是它們?nèi)孕枰嗟闹С帧?/p>
對于科技的需要是不可否認(rèn)的,Vormetric的Tumulak說道。“很多組織并不想要去構(gòu)建一個(gè)個(gè)加密孤島——由五個(gè)不同的廠商提供的五個(gè)不同的解決方案,”他說道,“如果你可以將版本數(shù)量從10個(gè)減少到2個(gè),那將能真正對業(yè)務(wù)流程有所幫助。”
讓加密產(chǎn)品擁有更多標(biāo)準(zhǔn)化的元素是必要的,但是專家警告,盡管標(biāo)準(zhǔn)化已取得了關(guān)鍵性進(jìn)展(+微信關(guān)注網(wǎng)絡(luò)世界),加密仍然不是靈丹妙藥。如果黑客攻擊某人的電腦或者員工故意泄漏,盡管已實(shí)施了適當(dāng)加密,但作用并不大。并在一些案例中,加密可能引發(fā)一次攻擊,尤其是如果安全的傳輸通道被控制,通過網(wǎng)絡(luò)企業(yè)中的業(yè)務(wù)會變得一清二楚。
無處不在的加密
企業(yè)網(wǎng)絡(luò)邊緣的消失,讓未來的加密變得更為重要。隨著數(shù)據(jù)從云和移動(dòng)設(shè)備中移出,加密不僅僅是為了提供更好的安全,而是未來商業(yè)的基礎(chǔ),Gartner分析師Heidt說道。
對于云服務(wù)提供商而言,提供加密將會創(chuàng)造更多的商業(yè)機(jī)會,不僅能夠緩解一些第三方的擔(dān)心(是否有來自國外政府或者軍方的黑客行為)他們將能夠訪問數(shù)據(jù),而且很好地解決了黏滯問題,例如一個(gè)云服務(wù)提供商如何證明他們沒有刪除輸出。“從取證的角度來看,刪除硬盤上的數(shù)據(jù),并不意味著數(shù)據(jù)不再存在了,并且刪除一個(gè)云中的文檔將會是更大的問題,因?yàn)槟闵踔炼紵o法控制這個(gè)硬盤,”Heidt說道。
相反,如果企業(yè)擁有這個(gè)數(shù)據(jù)的密鑰,然后再刪除自己的密鑰,企業(yè)就可以確保這個(gè)數(shù)據(jù)永遠(yuǎn)也無法訪問了。
當(dāng)數(shù)據(jù)離開了企業(yè),存在于防火墻之外后,更多的企業(yè)開始加密數(shù)據(jù),同時(shí)制定信息安全策略。當(dāng)然,這并不是一個(gè)孤立的問題,企業(yè)需要?jiǎng)?chuàng)建能夠和加密協(xié)同工作的策略,而不僅僅是依賴它,RSA安全公司數(shù)據(jù)保護(hù)的主管Sandy Carielli說道。
“加密是深度防御戰(zhàn)略的一部分”,她說道。“你不能只做加密,你也不能僅僅只寫更好的程序,你所要做的是組合使用各種不同的實(shí)踐。”
京公網(wǎng)安備 11010502049343號