據稱,自加密硬盤驅動器可解決數據丟失問題,但我聽說它們也有很多問題。自加密驅動器會帶來什么潛在的威脅?對于企業來說它是否是個好的選擇?
Michael Cobb:加密敏感數據是信息安全的關鍵要素,因為這可確保企業信息的保密性。然而,大多數用戶發現很難部署加密,并且,企業管理員通常難以對所有用戶設備執行加密。而自加密驅動器和設備正是這些加密問題的潛在解決方案,因為自加密可在所有時間對驅動器的所有數據進行透明的加密。數據加密和解密操作發生在驅動器控制器中專門的加密處理器中;這并不會影響設備的性能,不像其他基于軟件的加密產品還需要使用設備的CPU。驅動器報廢和重新部署也更加容易(通過更改媒體加密密鑰來實現),加密擦除瞬間進行,而不是通過多次數據寫入—這可能需要幾個小時。
自加密驅動器的隨時加密功能和見編寫可以幫助企業遵守政府或行業對數據隱私及加密的規定;如果用戶的筆記本電腦丟失或者被盜,驅動器的內容也無法被讀取。但是,研究人員發現Western Digital公司生產的多個版本自加密驅動器包含很多安全漏洞,可能允許可物理訪問驅動器的攻擊者輕松地解密數據,在某些情況下,他們甚至不需要知道解密密碼。來自加拿大KPMG的研究人員還展示了對使用自加密驅動器的筆記本進行數據恢復的三種方法,這表明Opal和微軟的eDrive標準無法確保睡眠模式以及關機狀態下筆記本中數據的安全性,因為自加密驅動器的電源可保持其在解鎖狀態。
正確部署加密總是很困難,但Wester Digital產品容易受到攻擊是由于各種基本錯誤,以及對加密過程的不當執行。例如,在一種情況下,我們使用隨機數據來對保護解鎖驅動器的密碼進行加密,而這些隨機數據來自計算機時鐘的當前時刻,這讓攻擊者可在很短時間內破解密碼。有些自加密驅動器還在設備中存有默認密碼;在用戶更改至少兩次密碼之前,默認密碼都可以用于解密驅動器中的數據。
這些研究表明使用尚未經過充分測試和審查的加密產品存在風險。在合規性審核中,使用這些產品可能很好,但它們也許無法真正保護敏感數據。硬件和軟件加密產品應該提供文檔介紹其產品的加密工作原理,如何部署,以及在這些產品通過某種形式的獨立審核后企業才應該考慮使用這些產品。這也是為什么很多專家建議只使用開源軟件加密,因為我們可對這些加密產品進行分析,而不需要依靠供應商的保證。企業在使用自加密硬盤驅動器或加密硬盤驅動器時,應該確保用戶知道數據只有在其設備完全關機時才會充電,而不應該讓其產品處于睡眠模式。這些類型的驅動器還應該涵蓋在修復管理程序中,因為它們可能比標準驅動器有更多固件更新,以確保加密過程和功能保持修復和最新狀態。
京公網安備 11010502049343號