如今,監(jiān)管機(jī)構(gòu)和安全策略師建議在業(yè)務(wù)空閑時(shí)加密數(shù)據(jù),但很少有組織這樣做,而且大多數(shù)都是錯(cuò)誤的做法。因?yàn)榭赡苡懈蟮膯?wèn)題需要先解決。
澳大利亞信息專員辦公室(OAIC)對(duì)于加密個(gè)人數(shù)據(jù)進(jìn)行了明了,無(wú)論是在其指導(dǎo)方針,還是最近的數(shù)據(jù)泄露調(diào)查中。但滲透測(cè)試廠商Hacklabs公司總監(jiān)克里斯·哥特福德表示,只有很少的組織達(dá)到預(yù)期。
“加密文件系統(tǒng)最好在系統(tǒng)空閑時(shí)對(duì)數(shù)據(jù)進(jìn)行加密,它只是不會(huì)發(fā)生,”哥特福德說(shuō),“99%的企業(yè)并沒(méi)有采取加密升旗,甚至還不如筆記本電腦的加密。”
哥特福德表示,他所遇到最常見(jiàn)的情況就是組織的桌面工作站上沒(méi)有為最終用戶的信息運(yùn)行任何類型的加密程序。這與OAIC所期待的相比,似乎有很長(zhǎng)的路要走。
OAIC并沒(méi)有直接要求加密。但它的保護(hù)個(gè)人信息指南提醒組織需要采取“合理措施”,以確保信息的案例。加密是“在許多情況下重要的”,而組織需要保護(hù)的數(shù)據(jù),無(wú)論是在服務(wù)器,數(shù)據(jù)庫(kù)中備份,第三方云服務(wù),以及最終用戶設(shè)備中,其中包括智能手機(jī)和平板電腦,以及筆記本電腦,或者是便攜式存儲(chǔ)設(shè)備。
“加密方法應(yīng)定期審查,以確保它們繼續(xù)保持相關(guān)性和有效性,并在需要時(shí)使用。這包括確保加密的范圍足夠?qū)挘构粽邿o(wú)法訪問(wèn)加密信息和另外的加密拷貝。”指南說(shuō)。
OAIC最近的報(bào)告表示,其調(diào)查2013年Adobe公司的海量數(shù)據(jù),而其實(shí)踐可能意味著什么。
Adobe公司使用相同的密鑰已經(jīng)加密所有用戶的密碼,而不是每個(gè)單獨(dú)加密并散列。而密碼提示是沒(méi)有加密的。
“加密和散列是一個(gè)基本的安全步驟,Adobe可以合理地實(shí)施更好的保護(hù)密碼。”OAIC寫道。
“如果服務(wù)器上的數(shù)據(jù)被泄露,Adobe公司需要在其所有系統(tǒng)始終貫徹穩(wěn)健的安全措施,但專員發(fā)現(xiàn)Adobe公司未能采取合理的措施來(lái)保護(hù)所有的個(gè)人信息,并導(dǎo)致信息濫用和損失,以及未經(jīng)授權(quán)的訪問(wèn),修改或披露。”
而Adobe公司對(duì)于數(shù)據(jù)的處理違反了當(dāng)時(shí)適用的法律。2014年3月12日,澳大利亞的隱私法進(jìn)行了更新,要在當(dāng)時(shí)和現(xiàn)在進(jìn)行“合理步驟”測(cè)試應(yīng)用。其關(guān)鍵的區(qū)別是,現(xiàn)在隱私專員可以對(duì)沒(méi)有采取這些合理的步驟的組織實(shí)施高達(dá)170萬(wàn)美元的最高罰款。
企業(yè)也需要保護(hù)自己的商業(yè)秘密,哥特福德表示,更成熟的企業(yè)通常更加重視加密,因?yàn)楸槐I的筆記本電腦將明顯增加風(fēng)險(xiǎn)。
如果用戶名和密碼提供零保護(hù),一個(gè)小偷可以簡(jiǎn)單地卸下硬盤驅(qū)動(dòng)器,在另一臺(tái)計(jì)算機(jī)上安裝,并復(fù)制數(shù)據(jù)。因此筆記本電腦的加密是必不可少的,而這同樣適用于平板電腦和智能手機(jī)。
移動(dòng)設(shè)備被盜往往是有組織行動(dòng)的一部分。怡敏信公司亞太地區(qū)移動(dòng)安全總經(jīng)理斯文·羅德威斯表示,這不僅是有關(guān)國(guó)家安全和國(guó)防信息。任何組織的知識(shí)產(chǎn)權(quán)都可能成為一個(gè)目標(biāo),從設(shè)計(jì)新的汽車引擎到電影或者是視頻游戲。
“特別是在一些國(guó)家經(jīng)常發(fā)生一些案件,旅客入住的酒店房門被打開(kāi),筆記本電腦已經(jīng)被人動(dòng)過(guò)。”羅德威斯說(shuō),“這是相當(dāng)普遍的,如果一些人想訪問(wèn)您的數(shù)據(jù)的話,而酒店卻沒(méi)有提供很好的安全保護(hù)。”他說(shuō)。
羅德威斯的自己旅行套件包括他個(gè)人的MacBookAir,具有多種安全軟件,并采用怡敏信公司的IronKey加密的U盤。
他說(shuō),許多其他公司也一個(gè)類似的產(chǎn)品,使旅客可以到達(dá)更高的風(fēng)險(xiǎn)的目的地,員工們采用的筆記本電腦提供了新安裝的,有限的操作系統(tǒng)映像,而公司所有的數(shù)據(jù)保存加密設(shè)備上,或者運(yùn)行類似的IronKey的U盤的安全移動(dòng)工作空間。返回時(shí),筆記本電腦的內(nèi)容完全被摧毀。
羅德威斯熱衷于夸耀I(xiàn)ronKey的安全功能,當(dāng)然,加密芯片很難做到不破壞它的環(huán)氧樹(shù)脂層,或者象垃圾一樣清除鍵的自毀機(jī)制。不過(guò),他也做了有關(guān)免受攻擊的風(fēng)險(xiǎn)的防御成本的評(píng)估。
“理論上可以把芯片放在電子顯微鏡下提取密鑰,但是實(shí)際上我們屏蔽芯片,因此電子顯微鏡不能真正看到在芯片內(nèi)部發(fā)生了什么事情。”羅德威斯說(shuō)。
“如果你有一個(gè)硬件加密設(shè)備,在閃存中密鑰存儲(chǔ),別人打開(kāi)了設(shè)備,并把探頭放在加密芯片和閃存之間提取密鑰的方式是比較常見(jiàn)的。”他說(shuō),“這是相當(dāng)普遍的,如果一些人想訪問(wèn)你的數(shù)據(jù),而酒店沒(méi)有提供相應(yīng)的安全保護(hù)的話。”
“很多的談話是圍繞高科技黑客......但很多數(shù)據(jù)丟失還是很常見(jiàn),”他說(shuō),像U盤器或移動(dòng)硬盤都很容易在火車、飛機(jī),汽車、酒店等丟失。“加密設(shè)備制造商多年來(lái)一直在談?wù)撨@種事情,它不是新的觀點(diǎn),現(xiàn)在談?dòng)悬c(diǎn)無(wú)聊。”
對(duì)移動(dòng)設(shè)備的加密的需要是顯而易見(jiàn)的,但服務(wù)器上的數(shù)據(jù)也可很容易被盜取,如果它不是加密的話,因?yàn)橛械慕M織的服務(wù)器有時(shí)很容易進(jìn)入。
其中一個(gè)臭名昭著的例子發(fā)生在2003年8月27日位于悉尼機(jī)場(chǎng)的澳大利亞海關(guān)服務(wù)的國(guó)家貨運(yùn)情報(bào)中心。自稱是IT外包提供商EDS公司技術(shù)人員的盜賊偷走了兩個(gè)組織的四臺(tái)服務(wù)器,而被盜走的還有大量的情報(bào)數(shù)據(jù)。
“竊賊長(zhǎng)的有些像中東、巴基斯坦或印度人,提供了EDS公司訪問(wèn)主機(jī)房的假證件”悉尼先驅(qū)晨報(bào)報(bào)道說(shuō)。
“那天晚上,盜賊用手推車裝載兩個(gè)服務(wù)器經(jīng)過(guò)了三樓的保安處,進(jìn)入電梯,并走出大樓,整個(gè)過(guò)程花費(fèi)兩個(gè)小時(shí)。”
羅德威斯表示,他“很少”看到在服務(wù)器部署上加密措施,而那些黑客具有跨越許多垂直行業(yè),并有一些客戶群。
“當(dāng)你聽(tīng)到人們談?wù)撍鼤r(shí),可能談?wù)摰氖切庞每ōh(huán)境,如果你要求加密的信用卡信息,我認(rèn)為最常用的方法是在數(shù)據(jù)庫(kù)內(nèi)進(jìn)行加密。”他說(shuō)。“這是典型的,因?yàn)樗@得了基于主機(jī)的加密。”
事實(shí)上,任何一種對(duì)組織的物理訪問(wèn)措施通常都是不夠的。
“當(dāng)有人進(jìn)入一個(gè)組織的工作站時(shí),那么游戲就結(jié)束了,因?yàn)橐獑?dòng)備用媒質(zhì)獲得的原始數(shù)據(jù)是微不足道的。”羅德威斯說(shuō)。
“在我們所做的幾乎每一個(gè)滲透測(cè)試中,我們看到,工作站的本地管理員的密碼與組織的每一個(gè)本地管理員密碼相同。”他說(shuō)。這可能是因?yàn)樵摻M織已復(fù)制密碼到工作站中,并作為其標(biāo)準(zhǔn)操作環(huán)境(SOE)推出,或僅僅是因?yàn)镮T工作人員需要能夠有效將信息從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)。
“如果你妥協(xié)一個(gè)端點(diǎn),你會(huì)得到本地管理員密碼,那次十有八九這個(gè)游戲結(jié)束了,你重新使用這些憑據(jù)進(jìn)入環(huán)境中,你不需要訪問(wèn)主要管理主機(jī)。你只需要訪問(wèn)本地管理工作站,你就可以進(jìn)入。”
而這樣使得事情變得更糟糕。即使是物理上滲透,組織通常是不想面對(duì)這樣的情況。
“最成功的攻擊案例是,組織面臨著大量網(wǎng)絡(luò)釣魚電子郵件的威脅,并利用最終用戶的工作站來(lái)攻擊網(wǎng)絡(luò)的其他部分。”羅德威斯說(shuō)。
“從外部看,你仍然看到人們?cè)谠O(shè)計(jì)他們的應(yīng)用程序時(shí),但從本質(zhì)是一種有缺陷的選擇。”他說(shuō)。
設(shè)計(jì)不佳的一個(gè)常見(jiàn)的指標(biāo)是用戶把自己的明文密碼通過(guò)電子郵件發(fā)送回給他們,羅德威斯稱之為“立即失敗”。
“事實(shí)上,他們?nèi)匀欢ㄆ谠跀?shù)據(jù)庫(kù)中存儲(chǔ)未加密的密碼值。所以黑客立刻知道他們的身份驗(yàn)證模塊設(shè)計(jì)的整體思路,大概是如何保護(hù)的,這是直接的標(biāo)志,他們?cè)谥安粫?huì)做任何事情,95%的時(shí)間是正確的。”羅德威斯說(shuō)。
IBRS安全分析師詹姆士·特納表示,這一切其實(shí)是反對(duì)把太多精力投入到對(duì)數(shù)據(jù)進(jìn)行加密的參數(shù)上。
“需要詢問(wèn)全磁盤加密的問(wèn)題是‘什么是攻擊,如何才能真正地預(yù)防?’如果計(jì)算機(jī)正在運(yùn)作,別人如何實(shí)際使用它,那么全磁盤加密真的沒(méi)有保護(hù)任何東西嗎?黑客可以通過(guò)網(wǎng)站漏洞或什么缺陷,并獲得所有明文的東西,”特納說(shuō)。“加密雖然很重要,但并不是組織投入全部精力的事情。羅德威斯的策略是非常有效的。而認(rèn)證是我看到的許多組織面臨的挑戰(zhàn)。”
特納引述一個(gè)首席信息安全官(CISO)的觀點(diǎn),并尋求身份管理廠商的建議。“采取一個(gè)身份管理項(xiàng)目的工作。”首席信息安全官表示。
“這就是問(wèn)題所在。身份認(rèn)證其實(shí)是真的很難。”特納說(shuō)。
“密鑰管理,也有解決方案。難道這樣做的就可以嗎?可能不是。它將是我們面臨的問(wèn)題之一,因?yàn)槲覀冮_(kāi)始越來(lái)越多地進(jìn)入云計(jì)算。而企業(yè)的數(shù)據(jù)加密將變得越來(lái)越重要嗎?是的,數(shù)據(jù)加密將直接與企業(yè)所投入的數(shù)據(jù)的價(jià)值成正比。而云供應(yīng)商都在全力以赴地解決這些事情。”
在人事管理(OPM)的美國(guó)辦公室最近海量數(shù)據(jù)破壞似乎支持特納的觀點(diǎn)。加密“不會(huì)在這個(gè)情況下幫助”,國(guó)土安全部助理部長(zhǎng)的網(wǎng)絡(luò)安全安迪Ozment博士部據(jù)說(shuō)在國(guó)會(huì)作證時(shí),因?yàn)楣粽攉@得了有效的用戶憑據(jù)。
最近,美國(guó)辦公室人事管理(OPM)部門大量數(shù)據(jù)泄露的事件似乎支持特納的觀點(diǎn)。在這種情況下,加密不會(huì)有什么幫助。致力于網(wǎng)絡(luò)安全的美國(guó)國(guó)土安全部助理部長(zhǎng)安迪·奧茲曼博士在國(guó)會(huì)作證時(shí)表示,攻擊者已經(jīng)獲得了有效的用戶憑據(jù)。
特納并沒(méi)有得到多少關(guān)于全磁盤加密的查詢信息。
“如今,我們知道加密不是一個(gè)絕對(duì)優(yōu)先級(jí)的事情。”特納說(shuō),“因此,加密不是不重要,但并不是全部和最終一切,它只是我們需要使用的工具之一...這有點(diǎn)像DLP數(shù)據(jù)丟失防護(hù)技術(shù)。”他說(shuō)。
“對(duì)于被留在機(jī)場(chǎng)一個(gè)筆記本電腦來(lái)說(shuō),全盤加密才能提供真正的安全。”