斯諾登爆料NSA棱鏡項目的新聞引發(fā)大家對加密工具和匿名化工具的興趣，越來越多的人開始想辦法覆蓋他們的行蹤，以確保沒有人會暗中偷窺他們。PRISM-break.org等網(wǎng)站正在鼓勵用戶使用非專有web瀏覽器以及匿名化工具(例如Tor)。雖然這些工具非常適合個人使用，但這可能給企業(yè)帶來嚴重的安全問題。

信息安全的主要原則之一是清楚你的網(wǎng)絡(luò)中發(fā)生的事情。如果不了解網(wǎng)絡(luò)中的主機以及傳輸?shù)牧髁壳闆r，安全團隊基本上在盲目運行。網(wǎng)絡(luò)安全監(jiān)控(NSM)專門用于提供對網(wǎng)絡(luò)的能見度，但匿名化服務(wù)和應(yīng)用程序可能給安全人員制造盲點，讓安全人員難以找出攻擊和防止數(shù)據(jù)泄漏。

為了減小匿名化工具和加密軟件對企業(yè)的影響，企業(yè)需要從幾個方面來解決這個問題。首先，企業(yè)需要對與這些技術(shù)相關(guān)的控制執(zhí)行風(fēng)險評估，并最終可能需要創(chuàng)建新的政策和修訂現(xiàn)行的政策，對用戶進行意識培訓(xùn)，并實施新的技術(shù)控制。

這種風(fēng)險評估的目的是確定對這些軟件的使用是否會給企業(yè)帶來風(fēng)險。在有些情況下，匿名化軟件可能需要用于企業(yè)環(huán)境中。例如，CrowdStrike推出的新的Tortilla軟件可以幫助安全團隊進行惡意軟件分析和情報收集。然而，這個軟件只能用于負責該活動的員工的工作站，而不應(yīng)該出現(xiàn)在首席財務(wù)官的行政助理的計算機中。

風(fēng)險評估應(yīng)該主要圍繞這些問題：合法使用情況、對網(wǎng)絡(luò)能見度的影響以及是否會造成潛在的數(shù)據(jù)丟失。在回答這些問題后，然后企業(yè)必須確定為解決這些風(fēng)險需要付出的努力，包括調(diào)整政策、增強用戶意識以及實施技術(shù)控制等。

企業(yè)需要創(chuàng)建或者修改政策，從而讓員工知道企業(yè)是否允許使用匿名化和加密軟件，以及誰被允許使用這些軟件。在一般企業(yè)環(huán)境，安全團隊以外的人都不應(yīng)該使用匿名化軟件，而只允許使用經(jīng)企業(yè)批準的加密軟件。如果企業(yè)在保護其端點，那么，最終用戶應(yīng)該不能被允許在其工作站安裝這些類型的軟件。企業(yè)的政策必須明確規(guī)定允許使用這些軟件的情況。

企業(yè)更新政策后，還應(yīng)該對用戶進行意識培訓(xùn)。如果企業(yè)中在使用加密軟件，對這種軟件的使用的培訓(xùn)應(yīng)該進行調(diào)整，以讓員工知道只可以使用經(jīng)授權(quán)的加密軟件。

在確定經(jīng)授權(quán)的軟件和用例情況后，接著，企業(yè)需要部署相應(yīng)的技術(shù)控制。根據(jù)已經(jīng)部署的安全保護措施的不同，企業(yè)可能只需要做很小的調(diào)整，或者也可能需要做很大的改變。例如，很多企業(yè)環(huán)境限制對最終用戶工作組的管理權(quán)限，不允許用戶安裝軟件。這種控制能夠防止大多數(shù)匿名化和加密軟件工具的使用。

不過， 限制管理權(quán)限并不足夠。用戶可能仍然能夠使用單獨的或者基于web的軟件，這些軟件不需要安裝。在這種情況下，企業(yè)應(yīng)該使用應(yīng)用程序白名單來防止這些未經(jīng)授權(quán)的軟件的運行。此外，一些防病毒解決方案可能會將TorBrowser視為惡意軟件，并在檢測到時會發(fā)出警報。

在網(wǎng)絡(luò)層，我們有很多方法可以檢測和阻止匿名化和加密流量。例如，大多數(shù)入侵檢測/防御系統(tǒng)(IDS/IPS)以及下一代防火墻能夠檢測Tor流量，以及阻止知名的代理網(wǎng)站。在防火墻，發(fā)布的Tor條目和出口節(jié)點將可以被阻止，而應(yīng)用層代理可以檢測流量，只允許符合政策的流量通過。同樣，出口過濾器應(yīng)該設(shè)置為只允許內(nèi)部IP地址使用特定的端口和協(xié)議來與外面通信。

根據(jù)風(fēng)險評估確定的風(fēng)險水平，并且，由于Tor流量通常使用TCP端口443(最常見的是用于HTTPS)，一些公司可能會決定通過應(yīng)用代理來執(zhí)行對SSL流量的檢測。當然，這會引起一些隱私問題，因為這可能將加密的個人信息暴露給監(jiān)控流量的安全團隊成員。這還需要所有的計算機系統(tǒng)具有SSL證書，以確保讓這個檢測過程看起來是透明的，因為SSL流量檢測會打破信任鏈。是否執(zhí)行這種流量檢測需要由企業(yè)法律部門、管理和IT部門共同商討。

重要的是要記住，技術(shù)精湛的堅定的攻擊者可能仍然有辦法繞過上述的安全控制，但上述方法能夠阻止大多數(shù)員工的非法行為。企業(yè)必須清楚自己試圖在抵御什么，并基于這個問題進行風(fēng)險評估。