“密钥灾难”:加密系统的又一个瓶颈之部署仍然很落后

2014-10-23 22:00| 发布者: admin| 查看: 3047| 评论: 0|原作者: Robert Lemos

摘要: 2008年,犯罪分子窃取了诺基亚塞班手机操作系统的部分源码,其中包括在软件安装之前,确保其软件的来源的合法性的加密密钥。据报道,诺基亚曾支付数百万欧元给犯罪分子,期望他们不要公开密钥,此时的诺基亚手机操作 ...
    2008年,犯罪分子窃取了诺基亚塞班手机操作系统的部分源码,其中包括在软件安装之前,确保其软件的来源的合法性的加密密钥。据报道,诺基亚曾支付数百万欧元给犯罪分子,期望他们不要公开密钥,此时的诺基亚手机操作系统已经主宰了全球手机市场,并被多个设备制造商使用。

    这就是最近在芬兰曝光的勒索案,目前案件仍在调查中。在2011年,Windows Phone操作系统成为诺基亚的主要智能手机软件,11年4月,微软收购了诺基亚的手机和服务业务。

    然而大部分的企业并不仅仅依赖于单一的加密密钥,却依赖于一个统一的存储和管理密钥,从而简化他们的加密基础架构的管理。

    “适当的密钥管理是非常重要的,” CipherCloud加密服务的首席信任官Bob West表示,(他也担任金融行业中的首席信息安全官)“我在之前的公司做过一个项目,有40%的SSH密钥被公布在互联网上。”

    那些掌握关键密钥并且拥有无限制访问权限的员工是另外的一个担心。Terry Childs,旧金山电脑技术员,曾让整个城市无法访问自己的工资单,并且在执法系统中没有记录,用他老板的话说是“杀手锏”,他可以访问市政厅的系统,并且可以搞定广域网FiberWAN网络。尽管Childs在2010年被判有4年的徒刑,然而导致这个情况发生,则是旧金山政府IT部门的错误导致的,他们并没有意识到集中管理密钥的危险——在整个案例中,就是用密码进入了这些系统。(见图例1)
 
    “密钥灾难”:加密系统的又一个瓶颈

图例1

    部署仍然很落后

    尽管有密钥丢失、单点故障和内鬼种种问题,然而因为数据未被加密而丢失则是一个更大的风险,云基础架构提供商Virtustream的CISO Pete Nico-letti这么认为。“你应该担心是否已经做好了加密,然后再确保你能够管理其安全性。”

    当前,大部分的Virtustream的客户,都要求拥有5年以上云服务提供商来加密他们的数据,加密技术对于很多客户而言就是确保他们做到了合规的要求。“加密应当被认为是安全性最佳的实践,但是很多的客户却认为‘有更好,没有也没关系’,他们将很多其他方法的优先级放在加密之前,”他说道。

    虽然企业不应该将加密认为是一种万能的方法,但是很多企业的确应该通过更广泛的部署加密系统提高他们的数据保护层次。Virtustream已经部署了加密来隔离和保护客户的数据,并且限制他们自己的员工访问数据,这让黑客偷取这些信息变得很困难。“假设这些加密的数据被偷了,公司可以将注意力集中在寻找哪里出现了漏洞上,而不是手忙脚乱的应对泄漏带来的危机”,Nicoletti说道。

    对于那些希望加强防御能力的企业而言,他们认为加密让系统变的更复杂。正是因为这样,只有少数公司广泛地部署了数据保护方案。Ponemon Institute 2013年的“全球加密趋势研究”报告中显示,在4802个被调研对象中,只有30%业务和IT主管所在的组织广泛地应用了加密技术。

    尽管当数据泄漏的时候加密技术带来的好处是明显的,但是根据SafeNet 7月发布的Q2 Breach Level Index报告中,在237家有数据泄漏的企业中(基于公开的来源),其中只有10家做了数据加密。那些报告数据泄漏的事故中,大概涉及1.75亿条数据记录,只有2条(不到1%)可被认为是“安全的泄漏”,也就是数据通过加密、密钥管理、授权,让那些想要窃取信息的人望而却步。

    “仅仅有一小部分企业在这块做的不错,”Enterprise Strategy Group的高级研究分析师Jon Oltsik说道,“另外一大部分仅仅是战术上的,且带着各种不愿意。”

    通讯过程加密已经成为很多企业的标准。但是,不安全的通信过程仍然存在,尤其是随着移动设备的增加。2013年10月至11月,HP安全研究部从全球2000家公司中抽样了600家公司,测试了2100个移动应用,其中有18%的应用,它们一些敏感操作并没有使用安全的HTTP隧道,例如登录,还有18%的应用没有正确地使用HTTPS和SSL技术。

    通讯过程加密是最简单的部分。加密存储的数据,通常称为“休眠的数据”——涉及一系列复杂的任务,包括分发密钥、对数据进行分类、确保终端的应用对数据的可读取性。通常而言,加密存储的数据聚焦在四个位置:笔记本电脑、智能手机、平板电脑、内部管理的数据库和存储在云中的数据。

下一篇20141111天猫双11购物狂欢节主会场入口
上一篇安全工具Nmap扫描参数解析


支持

超赞

难过

搞笑

扯淡

不解

头晕

欠扁

相关阅读

  • 今天点击最高的新闻

  • 一周点击最多的新闻

返回顶部