如今,監(jiān)管機(jī)構(gòu)和安全策略師建議在業(yè)務(wù)空閑時(shí)加密數(shù)據(jù),但很少有組織這樣做,而且大多數(shù)都是錯(cuò)誤的做法。因?yàn)榭赡苡懈蟮膯栴}需要先解決。
澳大利亞信息專員辦公室(OAIC)對于加密個(gè)人數(shù)據(jù)進(jìn)行了明了,無論是在其指導(dǎo)方針,還是最近的數(shù)據(jù)泄露調(diào)查中。但滲透測試廠商Hacklabs公司總監(jiān)克里斯·哥特福德表示,只有很少的組織達(dá)到預(yù)期。
“加密文件系統(tǒng)最好在系統(tǒng)空閑時(shí)對數(shù)據(jù)進(jìn)行加密,它只是不會發(fā)生,”哥特福德說,“99%的企業(yè)并沒有采取加密升旗,甚至還不如筆記本電腦的加密。”
哥特福德表示,他所遇到最常見的情況就是組織的桌面工作站上沒有為最終用戶的信息運(yùn)行任何類型的加密程序。這與OAIC所期待的相比,似乎有很長的路要走。
OAIC并沒有直接要求加密。但它的保護(hù)個(gè)人信息指南提醒組織需要采取“合理措施”,以確保信息的案例。加密是“在許多情況下重要的”,而組織需要保護(hù)的數(shù)據(jù),無論是在服務(wù)器,數(shù)據(jù)庫中備份,第三方云服務(wù),以及最終用戶設(shè)備中,其中包括智能手機(jī)和平板電腦,以及筆記本電腦,或者是便攜式存儲設(shè)備。
“加密方法應(yīng)定期審查,以確保它們繼續(xù)保持相關(guān)性和有效性,并在需要時(shí)使用。這包括確保加密的范圍足夠?qū)挘构粽邿o法訪問加密信息和另外的加密拷貝。”指南說。
OAIC最近的報(bào)告表示,其調(diào)查2013年Adobe公司的海量數(shù)據(jù),而其實(shí)踐可能意味著什么。
Adobe公司使用相同的密鑰已經(jīng)加密所有用戶的密碼,而不是每個(gè)單獨(dú)加密并散列。而密碼提示是沒有加密的。
“加密和散列是一個(gè)基本的安全步驟,Adobe可以合理地實(shí)施更好的保護(hù)密碼。”OAIC寫道。
“如果服務(wù)器上的數(shù)據(jù)被泄露,Adobe公司需要在其所有系統(tǒng)始終貫徹穩(wěn)健的安全措施,但專員發(fā)現(xiàn)Adobe公司未能采取合理的措施來保護(hù)所有的個(gè)人信息,并導(dǎo)致信息濫用和損失,以及未經(jīng)授權(quán)的訪問,修改或披露。”
而Adobe公司對于數(shù)據(jù)的處理違反了當(dāng)時(shí)適用的法律。2014年3月12日,澳大利亞的隱私法進(jìn)行了更新,要在當(dāng)時(shí)和現(xiàn)在進(jìn)行“合理步驟”測試應(yīng)用。其關(guān)鍵的區(qū)別是,現(xiàn)在隱私專員可以對沒有采取這些合理的步驟的組織實(shí)施高達(dá)170萬美元的最高罰款。
企業(yè)也需要保護(hù)自己的商業(yè)秘密,哥特福德表示,更成熟的企業(yè)通常更加重視加密,因?yàn)楸槐I的筆記本電腦將明顯增加風(fēng)險(xiǎn)。
如果用戶名和密碼提供零保護(hù),一個(gè)小偷可以簡單地卸下硬盤驅(qū)動器,在另一臺計(jì)算機(jī)上安裝,并復(fù)制數(shù)據(jù)。因此筆記本電腦的加密是必不可少的,而這同樣適用于平板電腦和智能手機(jī)。
移動設(shè)備被盜往往是有組織行動的一部分。怡敏信公司亞太地區(qū)移動安全總經(jīng)理斯文·羅德威斯表示,這不僅是有關(guān)國家安全和國防信息。任何組織的知識產(chǎn)權(quán)都可能成為一個(gè)目標(biāo),從設(shè)計(jì)新的汽車引擎到電影或者是視頻游戲。
“特別是在一些國家經(jīng)常發(fā)生一些案件,旅客入住的酒店房門被打開,筆記本電腦已經(jīng)被人動過。”羅德威斯說,“這是相當(dāng)普遍的,如果一些人想訪問您的數(shù)據(jù)的話,而酒店卻沒有提供很好的安全保護(hù)。”他說。
羅德威斯的自己旅行套件包括他個(gè)人的MacBookAir,具有多種安全軟件,并采用怡敏信公司的IronKey加密的U盤。
他說,許多其他公司也一個(gè)類似的產(chǎn)品,使旅客可以到達(dá)更高的風(fēng)險(xiǎn)的目的地,員工們采用的筆記本電腦提供了新安裝的,有限的操作系統(tǒng)映像,而公司所有的數(shù)據(jù)保存加密設(shè)備上,或者運(yùn)行類似的IronKey的U盤的安全移動工作空間。返回時(shí),筆記本電腦的內(nèi)容完全被摧毀。
羅德威斯熱衷于夸耀I(xiàn)ronKey的安全功能,當(dāng)然,加密芯片很難做到不破壞它的環(huán)氧樹脂層,或者象垃圾一樣清除鍵的自毀機(jī)制。不過,他也做了有關(guān)免受攻擊的風(fēng)險(xiǎn)的防御成本的評估。
“理論上可以把芯片放在電子顯微鏡下提取密鑰,但是實(shí)際上我們屏蔽芯片,因此電子顯微鏡不能真正看到在芯片內(nèi)部發(fā)生了什么事情。”羅德威斯說。
“如果你有一個(gè)硬件加密設(shè)備,在閃存中密鑰存儲,別人打開了設(shè)備,并把探頭放在加密芯片和閃存之間提取密鑰的方式是比較常見的。”他說,“這是相當(dāng)普遍的,如果一些人想訪問你的數(shù)據(jù),而酒店沒有提供相應(yīng)的安全保護(hù)的話。”
“很多的談話是圍繞高科技黑客......但很多數(shù)據(jù)丟失還是很常見,”他說,像U盤器或移動硬盤都很容易在火車、飛機(jī),汽車、酒店等丟失。“加密設(shè)備制造商多年來一直在談?wù)撨@種事情,它不是新的觀點(diǎn),現(xiàn)在談有點(diǎn)無聊。”
對移動設(shè)備的加密的需要是顯而易見的,但服務(wù)器上的數(shù)據(jù)也可很容易被盜取,如果它不是加密的話,因?yàn)橛械慕M織的服務(wù)器有時(shí)很容易進(jìn)入。
其中一個(gè)臭名昭著的例子發(fā)生在2003年8月27日位于悉尼機(jī)場的澳大利亞海關(guān)服務(wù)的國家貨運(yùn)情報(bào)中心。自稱是IT外包提供商EDS公司技術(shù)人員的盜賊偷走了兩個(gè)組織的四臺服務(wù)器,而被盜走的還有大量的情報(bào)數(shù)據(jù)。
“竊賊長的有些像中東、巴基斯坦或印度人,提供了EDS公司訪問主機(jī)房的假證件”悉尼先驅(qū)晨報(bào)報(bào)道說。
“那天晚上,盜賊用手推車裝載兩個(gè)服務(wù)器經(jīng)過了三樓的保安處,進(jìn)入電梯,并走出大樓,整個(gè)過程花費(fèi)兩個(gè)小時(shí)。”
羅德威斯表示,他“很少”看到在服務(wù)器部署上加密措施,而那些黑客具有跨越許多垂直行業(yè),并有一些客戶群。
“當(dāng)你聽到人們談?wù)撍鼤r(shí),可能談?wù)摰氖切庞每ōh(huán)境,如果你要求加密的信用卡信息,我認(rèn)為最常用的方法是在數(shù)據(jù)庫內(nèi)進(jìn)行加密。”他說。“這是典型的,因?yàn)樗@得了基于主機(jī)的加密。”
事實(shí)上,任何一種對組織的物理訪問措施通常都是不夠的。
“當(dāng)有人進(jìn)入一個(gè)組織的工作站時(shí),那么游戲就結(jié)束了,因?yàn)橐獑觽溆妹劫|(zhì)獲得的原始數(shù)據(jù)是微不足道的。”羅德威斯說。
“在我們所做的幾乎每一個(gè)滲透測試中,我們看到,工作站的本地管理員的密碼與組織的每一個(gè)本地管理員密碼相同。”他說。這可能是因?yàn)樵摻M織已復(fù)制密碼到工作站中,并作為其標(biāo)準(zhǔn)操作環(huán)境(SOE)推出,或僅僅是因?yàn)镮T工作人員需要能夠有效將信息從一臺計(jì)算機(jī)移動到另一臺計(jì)算機(jī)。
“如果你妥協(xié)一個(gè)端點(diǎn),你會得到本地管理員密碼,那次十有八九這個(gè)游戲結(jié)束了,你重新使用這些憑據(jù)進(jìn)入環(huán)境中,你不需要訪問主要管理主機(jī)。你只需要訪問本地管理工作站,你就可以進(jìn)入。”
而這樣使得事情變得更糟糕。即使是物理上滲透,組織通常是不想面對這樣的情況。
“最成功的攻擊案例是,組織面臨著大量網(wǎng)絡(luò)釣魚電子郵件的威脅,并利用最終用戶的工作站來攻擊網(wǎng)絡(luò)的其他部分。”羅德威斯說。
“從外部看,你仍然看到人們在設(shè)計(jì)他們的應(yīng)用程序時(shí),但從本質(zhì)是一種有缺陷的選擇。”他說。
設(shè)計(jì)不佳的一個(gè)常見的指標(biāo)是用戶把自己的明文密碼通過電子郵件發(fā)送回給他們,羅德威斯稱之為“立即失敗”。
“事實(shí)上,他們?nèi)匀欢ㄆ谠跀?shù)據(jù)庫中存儲未加密的密碼值。所以黑客立刻知道他們的身份驗(yàn)證模塊設(shè)計(jì)的整體思路,大概是如何保護(hù)的,這是直接的標(biāo)志,他們在之前不會做任何事情,95%的時(shí)間是正確的。”羅德威斯說。
IBRS安全分析師詹姆士·特納表示,這一切其實(shí)是反對把太多精力投入到對數(shù)據(jù)進(jìn)行加密的參數(shù)上。
“需要詢問全磁盤加密的問題是‘什么是攻擊,如何才能真正地預(yù)防?’如果計(jì)算機(jī)正在運(yùn)作,別人如何實(shí)際使用它,那么全磁盤加密真的沒有保護(hù)任何東西嗎?黑客可以通過網(wǎng)站漏洞或什么缺陷,并獲得所有明文的東西,”特納說。“加密雖然很重要,但并不是組織投入全部精力的事情。羅德威斯的策略是非常有效的。而認(rèn)證是我看到的許多組織面臨的挑戰(zhàn)。”
特納引述一個(gè)首席信息安全官(CISO)的觀點(diǎn),并尋求身份管理廠商的建議。“采取一個(gè)身份管理項(xiàng)目的工作。”首席信息安全官表示。
“這就是問題所在。身份認(rèn)證其實(shí)是真的很難。”特納說。
“密鑰管理,也有解決方案。難道這樣做的就可以嗎?可能不是。它將是我們面臨的問題之一,因?yàn)槲覀冮_始越來越多地進(jìn)入云計(jì)算。而企業(yè)的數(shù)據(jù)加密將變得越來越重要嗎?是的,數(shù)據(jù)加密將直接與企業(yè)所投入的數(shù)據(jù)的價(jià)值成正比。而云供應(yīng)商都在全力以赴地解決這些事情。”
在人事管理(OPM)的美國辦公室最近海量數(shù)據(jù)破壞似乎支持特納的觀點(diǎn)。加密“不會在這個(gè)情況下幫助”,國土安全部助理部長的網(wǎng)絡(luò)安全安迪Ozment博士部據(jù)說在國會作證時(shí),因?yàn)楣粽攉@得了有效的用戶憑據(jù)。
最近,美國辦公室人事管理(OPM)部門大量數(shù)據(jù)泄露的事件似乎支持特納的觀點(diǎn)。在這種情況下,加密不會有什么幫助。致力于網(wǎng)絡(luò)安全的美國國土安全部助理部長安迪·奧茲曼博士在國會作證時(shí)表示,攻擊者已經(jīng)獲得了有效的用戶憑據(jù)。
特納并沒有得到多少關(guān)于全磁盤加密的查詢信息。
“如今,我們知道加密不是一個(gè)絕對優(yōu)先級的事情。”特納說,“因此,加密不是不重要,但并不是全部和最終一切,它只是我們需要使用的工具之一...這有點(diǎn)像DLP數(shù)據(jù)丟失防護(hù)技術(shù)。”他說。
“對于被留在機(jī)場一個(gè)筆記本電腦來說,全盤加密才能提供真正的安全。”
京公網(wǎng)安備 11010502049343號