POODLE攻擊促使很多企業(yè)更新其安全做法，以避免因客戶端或服務(wù)器回退到安全套接字層(SSL)3.0導(dǎo)致的企業(yè)加密漏洞(SSL 3.0是比較舊的，但廣泛用于加密傳輸數(shù)據(jù)的通信協(xié)議)。谷歌在2014年10月發(fā)現(xiàn)SSL 3.0漏洞。

[[167320]]

美國(guó)信用評(píng)分機(jī)構(gòu)FICO因FICO評(píng)分及欺詐防護(hù)分析而出名，表示這種針對(duì)POODLE漏洞利用的中間人攻擊威脅需要在內(nèi)部更新其服務(wù)器。此外，F(xiàn)ICO要求客戶修復(fù)自己的軟件來(lái)支持傳輸層安全(TLS)加密，即SSL 3.0的替代者。

首席信息安全官Vickie Miller表示，F(xiàn)ICO已覆蓋所有加密選項(xiàng)，并遵循著這一領(lǐng)域正取得的所有進(jìn)步。然而，這種策略并不意味著“沒(méi)有任何問(wèn)題”，Miller承認(rèn)他們?cè)诠芾懋悩?gòu)加密生態(tài)系統(tǒng)時(shí)面臨一些挑戰(zhàn)。她稱(chēng)：“但這是擁有多樣化加密功能的可以接受的折衷的辦法。”

加密，有時(shí)也被稱(chēng)為密文，是種很強(qiáng)大的工具，但加密的部署存在風(fēng)險(xiǎn)，從安全握手到加密算法選擇再到公鑰及密鑰。

“在信息安全領(lǐng)域，我們專(zhuān)注于機(jī)密性、完整性和可用性，”Pershing Technologies LLC公司網(wǎng)絡(luò)安全副總裁Joel Bilheimer表示，“我有很多客戶表示他們并不需要擔(dān)心數(shù)據(jù)的保密性，因?yàn)槠湟呀?jīng)加密。”然而，他也指出：“如果沒(méi)有正確地部署，加密可能不會(huì)帶來(lái)任何好處，但卻讓人有安全的錯(cuò)覺(jué)。”

了解你的算法和密鑰

Johnson & Johnson公司信息安全前負(fù)責(zé)人Rich Guida表示，他了解到，企業(yè)成功的加密部署需要確保多個(gè)方面的最佳做法。首先，必須選擇合適的加密和密鑰大小(用于加密或解密的變量隨機(jī)比特?cái)?shù)量)以確保安全性。

Guida現(xiàn)在管理著自己的咨詢公司Guida Technology Associates，他說(shuō)道：“我可以從個(gè)人經(jīng)驗(yàn)告訴你，現(xiàn)在有很多供應(yīng)商在銷(xiāo)售專(zhuān)有的加密算法。”如果加密是定制化的，這意味著他們并不了解真正的問(wèn)題。加密算法應(yīng)該被公眾所知，從而你可以了解其工作原理，因?yàn)樽罱K你需要依靠的是密鑰而不是算法。

其次，你需要確保企業(yè)加密戰(zhàn)略的部署符合該算法需要遵守的標(biāo)準(zhǔn)。Guida稱(chēng)：“通常情況下，這意味著需要得到標(biāo)準(zhǔn)與技術(shù)研究的認(rèn)可。”對(duì)于大多數(shù)企業(yè)而言，也就是高級(jí)加密標(biāo)準(zhǔn)(AES)，這是美國(guó)聯(lián)邦政府在2002年通過(guò)的NIST電子數(shù)據(jù)加密規(guī)范，該規(guī)范已在全世界使用，并已經(jīng)擴(kuò)展到私營(yíng)機(jī)構(gòu)。

作為ISO/IEC18033-3數(shù)據(jù)保密標(biāo)準(zhǔn)的一部分，AES算法是一種對(duì)稱(chēng)密鑰塊，它使用相同的密鑰來(lái)加密明文和解密密文。“在過(guò)去幾年，人們確實(shí)發(fā)現(xiàn)了AES算法中的一些漏洞，”Guida稱(chēng)，“但它并沒(méi)有攻破，它仍然是聯(lián)邦政府采用的標(biāo)準(zhǔn)。”另外，AES可通過(guò)簡(jiǎn)單地部署更長(zhǎng)的密鑰長(zhǎng)度以隨著時(shí)間的推移而增加，256位目前排在第一，未來(lái)512位可能會(huì)取代它。

你還必須確保加密密鑰(以及任何相關(guān)信息)得到適當(dāng)控制和保護(hù)，讓他人沒(méi)有辦法來(lái)推導(dǎo)出變量字符串。他表示：“如果沒(méi)有適當(dāng)?shù)谋Ｗo(hù)，這就像你鎖好門(mén)，把鑰匙留在門(mén)口墊子下面。”

Forrester Research副總裁兼高級(jí)分析師John Kindervag也認(rèn)為密鑰管理是目前企業(yè)加密面臨的最大挑戰(zhàn)。但是，我們需要比公鑰基礎(chǔ)設(shè)施更好的做法，因?yàn)閺牟僮鹘嵌葋?lái)看該技術(shù)很復(fù)雜。PKI是由軟件、硬件、數(shù)字證書(shū)及政策組成的框架，它會(huì)捆綁公鑰與身份信息，識(shí)別人員和計(jì)算機(jī)以確保安全加密。Forrester認(rèn)為，必須接受的獨(dú)立加密函數(shù)的數(shù)量意味著沒(méi)有供應(yīng)商可能提供基于PKI的統(tǒng)一加密系統(tǒng)。

Kindervag指出，API在其他用例中已證明的價(jià)值為加密子系統(tǒng)之間支持交互提供了模式。假設(shè)這種趨勢(shì)出現(xiàn)，F(xiàn)orrester預(yù)測(cè)這將刺激集中式或企業(yè)密鑰管理系統(tǒng)的增長(zhǎng)。

糟糕的部署

加密通常是可行的，但大多數(shù)與該技術(shù)有關(guān)的問(wèn)題在于其部署，而不是使用。TokenEx公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Alex Pezold表示：“我的意思是，如果你嘗試暴力破解AES256加密的文本，我們將永遠(yuǎn)不會(huì)看到AES 256推送的初始文本。”但是，如果攻擊者正在尋找用于加密該數(shù)據(jù)的加密密鑰，那這就是薄弱點(diǎn)所在。

密鑰管理是構(gòu)建企業(yè)加密戰(zhàn)略的最大挑戰(zhàn)之一，因?yàn)榻饷苊芪牡拿荑€需要位于環(huán)境中的某處，而攻擊者通常知道去哪里找。那些需要定期訪問(wèn)加密數(shù)據(jù)的企業(yè)通常把加密密鑰放在數(shù)據(jù)庫(kù)管理系統(tǒng)內(nèi)的存儲(chǔ)流程中，而這部分通常沒(méi)有得到充分保護(hù)。另一個(gè)風(fēng)險(xiǎn)因素是SSL，最近SSL遭到攻破，可能讓你無(wú)法再使用它。

為了部署更好的企業(yè)加密戰(zhàn)略，首先你要問(wèn)：加密密鑰保管在哪里，誰(shuí)擁有所有權(quán)?很多面向消費(fèi)者的云服務(wù)在服務(wù)層保存私鑰，這意味著你的數(shù)據(jù)可能會(huì)被該服務(wù)的管理員訪問(wèn)。這有利于提高可用性，但會(huì)影響保密性。

有的信息安全計(jì)劃允許個(gè)人在忘記密碼后恢復(fù)個(gè)人數(shù)據(jù)，但這與有多個(gè)冗余訪問(wèn)點(diǎn)的計(jì)劃截然不同。你是在為消費(fèi)產(chǎn)品考慮加密，還是為企業(yè)數(shù)據(jù)考慮加密?這決定著你的安全和風(fēng)險(xiǎn)管理。Bilheimer稱(chēng)：“前者通常只能由個(gè)人訪問(wèn)，而后者必須可供大量用戶訪問(wèn)。”

如果你的加密戰(zhàn)略是為了構(gòu)建PKI，你需要確保你可抵御中間人攻擊。如果你計(jì)劃隨著時(shí)間的推移來(lái)存檔數(shù)據(jù)，那么，你需要保管你的密鑰并考慮加密過(guò)期問(wèn)題。

監(jiān)管問(wèn)題

對(duì)個(gè)人可識(shí)別信息(PII)和其他敏感數(shù)據(jù)的加密并不會(huì)幫助企業(yè)免受監(jiān)管審查或干預(yù)。隱私性與國(guó)家安全之間的平衡正在轉(zhuǎn)變，美國(guó)和歐洲的情報(bào)機(jī)構(gòu)與執(zhí)法部門(mén)就在辯論新近提出的加密法案。

很多數(shù)據(jù)隱私法必須通過(guò)加密來(lái)應(yīng)對(duì)，其中一大推動(dòng)力是數(shù)據(jù)存儲(chǔ)要求，在Kindervag看來(lái)，這基本不太可能部署，然而，隱私的問(wèn)題必須解決。

加密數(shù)據(jù)也可幫助企業(yè)應(yīng)對(duì)很多數(shù)據(jù)泄露披露法案。這個(gè)先例最早是這種法案的“鼻祖”：美國(guó)加州安全泄露事故信息法案(SB-1386)。這個(gè)加州法案于2003年通過(guò)，它要求保管個(gè)人信息的企業(yè)在其未加密PII遭泄露時(shí)通知這些個(gè)人。有些司法管轄區(qū)試圖禁止加密，但這種做法已經(jīng)不再實(shí)用。

企業(yè)需要密切關(guān)注國(guó)際數(shù)據(jù)隱私法及許可或其他與加密工具相關(guān)的法規(guī)。有些國(guó)家要求企業(yè)在必要的情況下解密他們?nèi)魏萎a(chǎn)品中的信息。“可以這么說(shuō)，你必須有開(kāi)箱子的能力，”Guida稱(chēng)，雖然他強(qiáng)調(diào)他不是律師，“這可能給企業(yè)帶來(lái)很大的負(fù)擔(dān)。”

Pezold稱(chēng)：“出于保護(hù)數(shù)據(jù)隱私性的目的，加密應(yīng)該廣泛部署，雖然這不可能讓每個(gè)人都滿意。最終，與任何技術(shù)一樣，加密的強(qiáng)度完全在于其部署。如果沒(méi)有適當(dāng)部署，或者用于確保加密的組件沒(méi)有得到適當(dāng)保護(hù)，那么，加密技術(shù)也存在風(fēng)險(xiǎn)。”