2008年,犯罪分子竊取了諾基亞塞班手機操作系統的部分源碼,其中包括在軟件安裝之前,確保其軟件的來源的合法性的加密密鑰。據報道,諾基亞曾支付數百萬歐元給犯罪分子,期望他們不要公開密鑰,此時的諾基亞手機操作系統已經主宰了全球手機市場,并被多個設備制造商使用。
這就是最近在芬蘭曝光的勒索案,目前案件仍在調查中。在2011年,Windows Phone操作系統成為諾基亞的主要智能手機軟件,11年4月,微軟收購了諾基亞的手機和服務業務。
然而大部分的企業并不僅僅依賴于單一的加密密鑰,卻依賴于一個統一的存儲和管理密鑰,從而簡化他們的加密基礎架構的管理。
“適當的密鑰管理是非常重要的,” CipherCloud加密服務的首席信任官Bob West表示,(他也擔任金融行業中的首席信息安全官)“我在之前的公司做過一個項目,有40%的SSH密鑰被公布在互聯網上。”
那些掌握關鍵密鑰并且擁有無限制訪問權限的員工是另外的一個擔心。Terry Childs,舊金山電腦技術員,曾讓整個城市無法訪問自己的工資單,并且在執法系統中沒有記錄,用他老板的話說是“殺手锏”,他可以訪問市政廳的系統,并且可以搞定廣域網FiberWAN網絡。盡管Childs在2010年被判有4年的徒刑,然而導致這個情況發生,則是舊金山政府IT部門的錯誤導致的,他們并沒有意識到集中管理密鑰的危險——在整個案例中,就是用密碼進入了這些系統。(見圖1)
部署仍然很落后
盡管有密鑰丟失、單點故障和內鬼種種問題,然而因為數據未被加密而丟失則是一個更大的風險,云基礎架構提供商Virtustream的CISO Pete Nico-letti這么認為。“你應該擔心是否已經做好了加密,然后再確保你能夠管理其安全性。”
當前,大部分的Virtustream的客戶,都要求擁有5年以上云服務提供商來加密他們的數據,加密技術對于很多客戶而言就是確保他們做到了合規的要求。“加密應當被認為是安全性最佳的實踐,但是很多的客戶卻認為‘有更好,沒有也沒關系’,他們將很多其他方法的優先級放在加密之前,”他說道。
雖然企業不應該將加密認為是一種萬能的方法,但是很多企業的確應該通過更廣泛的部署加密系統提高他們的數據保護層次。Virtustream已經部署了加密來隔離和保護客戶的數據,并且限制他們自己的員工訪問數據,這讓黑客偷取這些信息變得很困難。“假設這些加密的數據被偷了,公司可以將注意力集中在尋找哪里出現了漏洞上,而不是手忙腳亂的應對泄漏帶來的危機”,Nicoletti說道。
對于那些希望加強防御能力的企業而言,他們認為加密讓系統變的更復雜。正是因為這樣,只有少數公司廣泛地部署了數據保護方案。Ponemon Institute 2013年的“全球加密趨勢研究”報告中顯示,在4802個被調研對象中,只有30%業務和IT主管[注]所在的組織廣泛地應用了加密技術。
盡管當數據泄漏的時候加密技術帶來的好處是明顯的,但是根據SafeNet 7月發布的Q2 Breach Level Index報告中(+微信關注網絡世界),在237家有數據泄漏的企業中(基于公開的來源),其中只有10家做了數據加密。那些報告數據泄漏的事故中,大概涉及1.75億條數據記錄,只有2條(不到1%)可被認為是“安全的泄漏”,也就是數據通過加密、密鑰管理、授權,讓那些想要竊取信息的人望而卻步。
“僅僅有一小部分企業在這塊做的不錯,”EntERPrise Strategy Group的高級研究分析師Jon Oltsik說道,“另外一大部分僅僅是戰術上的,且帶著各種不愿意。”
通訊過程加密已經成為很多企業的標準。但是,不安全的通信過程仍然存在,尤其是隨著移動設備的增加。2013年10月至11月,HP安全研究部從全球2000家公司中抽樣了600家公司,測試了2100個移動應用,其中有18%的應用,它們一些敏感操作并沒有使用安全的HTTP隧道,例如登錄,還有18%的應用沒有正確地使用HTTPS和SSL技術。
通訊過程加密是最簡單的部分。加密存儲的數據,通常稱為“休眠的數據”——涉及一系列復雜的任務,包括分發密鑰、對數據進行分類、確保終端的應用對數據的可讀取性。通常而言,加密存儲的數據聚焦在四個位置:筆記本電腦、智能手機、平板電腦、內部管理的數據庫和存儲在云中的數據。
數據遷移
由于筆記本電腦經常丟失,每一個移動PC都應當把加密作為理所當然的事,Gartner安全和風險管理團隊,技術專家領域的分析師Erik Heidt說道。“這已經不是1999年了,不對筆記本電腦和移動終端加密是沒有道理的。但仍然有很多企業沒有加密電腦硬盤,而如果你不加密,你肯定已經是落后了”,Heidt說道。
很多企業顯然并沒有把這作為預防數據丟失的預防措施。數據顯示,只有30%的被偷的筆記本電腦擁有加密的硬盤,根據2010年Ponemon的標桿報告顯示,“丟失的筆記本電腦有幾十億美金的損失,”基于對329家美國公司做了調研。(這個報告由Inter贊助,僅研究了丟失筆記本電腦的損失)。在過去的12個月中,被調研的公司平均損失了263臺筆記本電腦,每丟失一臺預計損失49246美金,且其中數據損失占到其損失的80%。根據調查結果顯示,擁有敏感或者機密數據的設備,通常擁有加密的硬盤,但往往也是容易被偷的。
與筆記本電腦相比,加密移動終端會更困難,Heidt說道,需要的不僅僅是加密的數據存儲,還包括數據丟失保護技術,甚至是,容器技術。“你應該支持更多的技術——多種終端以及它們上面的多種操作系統,”他說道,“所以從復雜性角度而言它是更為困難的。”
本地的數據庫是另一個通常需要加密的地方,加密之后需要進行備份和VPN傳輸,根據Ponemon的研究顯示。因為數據需要存儲到云端,這樣就變得更為復雜。大量的企業,例如CipherCloud提供一種技術可以在數據傳輸到云端之前進行加密,并且創造了一種可以對數據進行搜索和處理的技術,哪怕數據做了加密。
隨著企業收集越來越多的數據,且信息又是分布在用戶的手機、或者云端,在今天這個被數據包圍的環境下,企業需要量化的方式部署加密系統。
“對于今天的企業,由云、移動、大數據[注]帶了很多變革,這些影響它們制定數據保護戰略,”加密服務提供商Vormetric的產品管理負責總裁Derek Tumulak說道。“若采取方式不正確,你將無法在這些大趨勢下獲得收益。”
從政策到流程
通常企業保護數據的方法是盤點企業的數據資產,分析可能對這部分數據做出的危害,并且創建策略。企業同樣也需要知道,什么類型的終端和應用可以被信任,并且將策略應用各種終端設備和云的連接上,密鑰管理服務提供商Venafi的安全戰略副總裁Kevin Bocek說道。
“一切都源于你所擁有的信息,” Bocek說道。“大部分與我們合作的公司并不知道它們有多少密鑰,它們被用在哪里加密,以及哪些應用和終端是可以被信任的。”
對于密鑰管理,企業應當引起重視,毫無疑問這是一個加密系統的最重要的部分,尤其作為一個組織,加密越多的數據,會讓基礎架構變得更為復雜。“你會發現你需要加密的也越來越多,”SafeNet的首席戰略官Tsion Gonen說道,“并且你會發現你有大量的密鑰在應用,而且沒有一個集中的管理平臺。”一些企業當前管理著由15個系統產生的密鑰。(見圖2)
廠商正在嘗試解決密鑰管理的問題,但是加密系統之間的互操作性仍然欠缺。OASIS的密鑰管理協作協議(KMIP)用于加密產品之間的信息流的標準化和通信,將來可以解決互通性的問題。在2月,11個加密和軟件廠商——Dell、IBM、Oracle、SafeNet、Thales e-Security和Vormetric,以及其他一些公司展示了它們之間的協同工作,但是它們仍需要更多的支持。
對于科技的需要是不可否認的,Vormetric的Tumulak說道。“很多組織并不想要去構建一個個加密孤島——由五個不同的廠商提供的五個不同的解決方案,”他說道,“如果你可以將版本數量從10個減少到2個,那將能真正對業務流程有所幫助。”
讓加密產品擁有更多標準化的元素是必要的,但是專家警告,盡管標準化已取得了關鍵性進展(+微信關注網絡世界),加密仍然不是靈丹妙藥。如果黑客攻擊某人的電腦或者員工故意泄漏,盡管已實施了適當加密,但作用并不大。并在一些案例中,加密可能引發一次攻擊,尤其是如果安全的傳輸通道被控制,通過網絡企業中的業務會變得一清二楚。
無處不在的加密
企業網絡邊緣的消失,讓未來的加密變得更為重要。隨著數據從云和移動設備中移出,加密不僅僅是為了提供更好的安全,而是未來商業的基礎,Gartner分析師Heidt說道。
對于云服務提供商而言,提供加密將會創造更多的商業機會,不僅能夠緩解一些第三方的擔心(是否有來自國外政府或者軍方的黑客行為)他們將能夠訪問數據,而且很好地解決了黏滯問題,例如一個云服務提供商如何證明他們沒有刪除輸出。“從取證的角度來看,刪除硬盤上的數據,并不意味著數據不再存在了,并且刪除一個云中的文檔將會是更大的問題,因為你甚至都無法控制這個硬盤,”Heidt說道。
相反,如果企業擁有這個數據的密鑰,然后再刪除自己的密鑰,企業就可以確保這個數據永遠也無法訪問了。
當數據離開了企業,存在于防火墻之外后,更多的企業開始加密數據,同時制定信息安全策略。當然,這并不是一個孤立的問題,企業需要創建能夠和加密協同工作的策略,而不僅僅是依賴它,RSA安全公司數據保護的主管Sandy Carielli說道。
“加密是深度防御戰略的一部分”,她說道。“你不能只做加密,你也不能僅僅只寫更好的程序,你所要做的是組合使用各種不同的實踐。”
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:“密鑰災難”:加密系統的又一個瓶頸
本文網址:http://www.guhuozai8.cn/html/consultation/10839518048.html
相關文章
