POODLE攻击促使很多企业更新其安全做法,以避免因客户端或服务器回退到安全套接字层(SSL)3.0导致的企业加密漏洞(SSL 3.0是比较旧的,但广泛用于加密传输数据的通信协议)。谷歌在2014年10月发现SSL 3.0漏洞。
美国信用评分机构FICO因FICO评分及欺诈防护分析而出名,表示这种针对POODLE漏洞利用的中间人攻击威胁需要在内部更新其服务器。此外,FICO要求客户修复自己的软件来支持传输层安全(TLS)加密,即SSL 3.0的替代者。
首席信息安全官Vickie Miller表示,FICO已覆盖所有加密选项,并遵循着这一领域正取得的所有进步。然而,这种策略并不意味着“没有任何问题”,Miller承认他们在管理异构加密生态系统时面临一些挑战。她称:“但这是拥有多样化加密功能的可以接受的折衷的办法。”
加密,有时也被称为密文,是种很强大的工具,但加密的部署存在风险,从安全握手到加密算法选择再到公钥及密钥。
“在信息安全领域,我们专注于机密性、完整性和可用性,”Pershing Technologies LLC公司网络安全副总裁Joel Bilheimer表示,“我有很多客户表示他们并不需要担心数据的保密性,因为其已经加密。”然而,他也指出:“如果没有正确地部署,加密可能不会带来任何好处,但却让人有安全的错觉。”
了解你的算法和密钥
Johnson & Johnson公司信息安全前负责人Rich Guida表示,他了解到,企业成功的加密部署需要确保多个方面的最佳做法。首先,必须选择合适的加密和密钥大小(用于加密或解密的变量随机比特数量)以确保安全性。
Guida现在管理着自己的咨询公司Guida Technology Associates,他说道:“我可以从个人经验告诉你,现在有很多供应商在销售专有的加密算法。”如果加密是定制化的,这意味着他们并不了解真正的问题。加密算法应该被公众所知,从而你可以了解其工作原理,因为最终你需要依靠的是密钥而不是算法。
其次,你需要确保企业加密战略的部署符合该算法需要遵守的标准。Guida称:“通常情况下,这意味着需要得到标准与技术研究的认可。”对于大多数企业而言,也就是高级加密标准(AES),这是美国联邦*在2002年通过的NIST电子数据加密规范,该规范已在全世界使用,并已经扩展到私营机构。
作为ISO/IEC18033-3数据保密标准的一部分,AES算法是一种对称密钥块,它使用相同的密钥来加密明文和解密密文。“在过去几年,人们确实发现了AES算法中的一些漏洞,”Guida称,“但它并没有攻破,它仍然是联邦*采用的标准。”另外,AES可通过简单地部署更长的密钥长度以随着时间的推移而增加,256位目前排在第一,未来512位可能会取代它。
你还必须确保加密密钥(以及任何相关信息)得到适当控制和保护,让他人没有办法来推导出变量字符串。他表示:“如果没有适当的保护,这就像你锁好门,把钥匙留在门口垫子下面。”
Forrester Research副总裁兼高级分析师John Kindervag也认为密钥管理是目前企业加密面临的最大挑战。但是,我们需要比公钥基础设施更好的做法,因为从操作角度来看该技术很复杂。PKI是由软件、硬件、数字证书及政策组成的框架,它会捆绑公钥与身份信息,识别人员和计算机以确保安全加密。Forrester认为,必须接受的独立加密函数的数量意味着没有供应商可能提供基于PKI的统一加密系统。
Kindervag指出,API在其他用例中已证明的价值为加密子系统之间支持交互提供了模式。假设这种趋势出现,Forrester预测这将刺激集中式或企业密钥管理系统的增长。
糟糕的部署
加密通常是可行的,但大多数与该技术有关的问题在于其部署,而不是使用。TokenEx公司联合创始人兼首席执行官Alex Pezold表示:“我的意思是,如果你尝试暴力破解AES256加密的文本,我们将永远不会看到AES 256推送的初始文本。”但是,如果攻击者正在寻找用于加密该数据的加密密钥,那这就是薄弱点所在。
密钥管理是构建企业加密战略的最大挑战之一,因为解密密文的密钥需要位于环境中的某处,而攻击者通常知道去哪里找。那些需要定期访问加密数据的企业通常把加密密钥放在数据库管理系统内的存储流程中,而这部分通常没有得到充分保护。另一个风险因素是SSL,最近SSL遭到攻破,可能让你无法再使用它。
为了部署更好的企业加密战略,首先你要问:加密密钥保管在哪里,谁拥有所有权?很多面向消费者的云服务在服务层保存私钥,这意味着你的数据可能会被该服务的管理员访问。这有利于提高可用性,但会影响保密性。
有的信息安全计划允许个人在忘记密码后恢复个人数据,但这与有多个冗余访问点的计划截然不同。你是在为消费产品考虑加密,还是为企业数据考虑加密?这决定着你的安全和风险管理。Bilheimer称:“前者通常只能由个人访问,而后者必须可供大量用户访问。”
如果你的加密战略是为了构建PKI,你需要确保你可抵御中间人攻击。如果你计划随着时间的推移来存档数据,那么,你需要保管你的密钥并考虑加密过期问题。
监管问题
对个人可识别信息(PII)和其他敏感数据的加密并不会帮助企业免受监管审查或干预。隐私性与国家安全之间的平衡正在转变,美国和欧洲的情报机构与执法部门就在辩论新近提出的加密法案。
很多数据隐私法必须通过加密来应对,其中一大推动力是数据存储要求,在Kindervag看来,这基本不太可能部署,然而,隐私的问题必须解决。
加密数据也可帮助企业应对很多数据泄露披露法案。这个先例最早是这种法案的“鼻祖”:美国加州安全泄露事故信息法案(SB-1386)。这个加州法案于2003年通过,它要求保管个人信息的企业在其未加密PII遭泄露时通知这些个人。有些司法管辖区试图禁止加密,但这种做法已经不再实用。
企业需要密切关注国际数据隐私法及许可或其他与加密工具相关的法规。有些国家要求企业在必要的情况下解密他们任何产品中的信息。“可以这么说,你必须有开箱子的能力,”Guida称,虽然他强调他不是律师,“这可能给企业带来很大的负担。”
Pezold称:“出于保护数据隐私性的目的,加密应该广泛部署,虽然这不可能让每个人都满意。最终,与任何技术一样,加密的强度完全在于其部署。如果没有适当部署,或者用于确保加密的组件没有得到适当保护,那么,加密技术也存在风险。”
作者:Alan R. Earls
来源:51CTO