久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

如今，監(jiān)管機(jī)構(gòu)和安全策略師建議在業(yè)務(wù)空閑時(shí)加密數(shù)據(jù)，但很少有組織這樣做，而且大多數(shù)都是錯(cuò)誤的做法。因?yàn)榭赡苡懈蟮膯?wèn)題需要先解決。

澳大利亞信息專員辦公室(OAIC)對(duì)于加密個(gè)人數(shù)據(jù)進(jìn)行了明了，無(wú)論是在其指導(dǎo)方針，還是最近的數(shù)據(jù)泄露調(diào)查中。但滲透測(cè)試廠商Hacklabs公司總監(jiān)克里斯·哥特福德表示，只有很少的組織達(dá)到預(yù)期。

“加密文件系統(tǒng)最好在系統(tǒng)空閑時(shí)對(duì)數(shù)據(jù)進(jìn)行加密，它只是不會(huì)發(fā)生，”哥特福德說(shuō)，“99%的企業(yè)并沒(méi)有采取加密升旗，甚至還不如筆記本電腦的加密。”

哥特福德表示，他所遇到最常見(jiàn)的情況就是組織的桌面工作站上沒(méi)有為最終用戶的信息運(yùn)行任何類型的加密程序。這與OAIC所期待的相比，似乎有很長(zhǎng)的路要走。

OAIC并沒(méi)有直接要求加密。但它的保護(hù)個(gè)人信息指南提醒組織需要采取“合理措施”，以確保信息的案例。加密是“在許多情況下重要的”，而組織需要保護(hù)的數(shù)據(jù)，無(wú)論是在服務(wù)器，數(shù)據(jù)庫(kù)中備份，第三方云服務(wù)，以及最終用戶設(shè)備中，其中包括智能手機(jī)和平板電腦，以及筆記本電腦，或者是便攜式存儲(chǔ)設(shè)備。

“加密方法應(yīng)定期審查，以確保它們繼續(xù)保持相關(guān)性和有效性，并在需要時(shí)使用。這包括確保加密的范圍足夠?qū)?，使攻擊者無(wú)法訪問(wèn)加密信息和另外的加密拷貝。”指南說(shuō)。

OAIC最近的報(bào)告表示，其調(diào)查2013年Adobe公司的海量數(shù)據(jù)，而其實(shí)踐可能意味著什么。

Adobe公司使用相同的密鑰已經(jīng)加密所有用戶的密碼，而不是每個(gè)單獨(dú)加密并散列。而密碼提示是沒(méi)有加密的。

“加密和散列是一個(gè)基本的安全步驟，Adobe可以合理地實(shí)施更好的保護(hù)密碼。”OAIC寫(xiě)道。

“如果服務(wù)器上的數(shù)據(jù)被泄露，Adobe公司需要在其所有系統(tǒng)始終貫徹穩(wěn)健的安全措施，但專員發(fā)現(xiàn)Adobe公司未能采取合理的措施來(lái)保護(hù)所有的個(gè)人信息，并導(dǎo)致信息濫用和損失，以及未經(jīng)授權(quán)的訪問(wèn)，修改或披露。”

而Adobe公司對(duì)于數(shù)據(jù)的處理違反了當(dāng)時(shí)適用的法律。2014年3月12日，澳大利亞的隱私法進(jìn)行了更新，要在當(dāng)時(shí)和現(xiàn)在進(jìn)行“合理步驟”測(cè)試應(yīng)用。其關(guān)鍵的區(qū)別是，現(xiàn)在隱私專員可以對(duì)沒(méi)有采取這些合理的步驟的組織實(shí)施高達(dá)170萬(wàn)美元的最高罰款。

企業(yè)也需要保護(hù)自己的商業(yè)秘密，哥特福德表示，更成熟的企業(yè)通常更加重視加密，因?yàn)楸槐I的筆記本電腦將明顯增加風(fēng)險(xiǎn)。

如果用戶名和密碼提供零保護(hù)，一個(gè)小偷可以簡(jiǎn)單地卸下硬盤(pán)驅(qū)動(dòng)器，在另一臺(tái)計(jì)算機(jī)上安裝，并復(fù)制數(shù)據(jù)。因此筆記本電腦的加密是必不可少的，而這同樣適用于平板電腦和智能手機(jī)。

移動(dòng)設(shè)備被盜往往是有組織行動(dòng)的一部分。怡敏信公司亞太地區(qū)移動(dòng)安全總經(jīng)理斯文·羅德威斯表示，這不僅是有關(guān)國(guó)家安全和國(guó)防信息。任何組織的知識(shí)產(chǎn)權(quán)都可能成為一個(gè)目標(biāo)，從設(shè)計(jì)新的汽車引擎到電影或者是視頻游戲。

“特別是在一些國(guó)家經(jīng)常發(fā)生一些案件，旅客入住的酒店房門(mén)被打開(kāi)，筆記本電腦已經(jīng)被人動(dòng)過(guò)。”羅德威斯說(shuō)，“這是相當(dāng)普遍的，如果一些人想訪問(wèn)您的數(shù)據(jù)的話，而酒店卻沒(méi)有提供很好的安全保護(hù)。”他說(shuō)。

羅德威斯的自己旅行套件包括他個(gè)人的MacBookAir，具有多種安全軟件，并采用怡敏信公司的IronKey加密的U盤(pán)。

他說(shuō)，許多其他公司也一個(gè)類似的產(chǎn)品，使旅客可以到達(dá)更高的風(fēng)險(xiǎn)的目的地，員工們采用的筆記本電腦提供了新安裝的，有限的操作系統(tǒng)映像，而公司所有的數(shù)據(jù)保存加密設(shè)備上，或者運(yùn)行類似的IronKey的U盤(pán)的安全移動(dòng)工作空間。返回時(shí)，筆記本電腦的內(nèi)容完全被摧毀。

羅德威斯熱衷于夸耀I(xiàn)ronKey的安全功能，當(dāng)然，加密芯片很難做到不破壞它的環(huán)氧樹(shù)脂層，或者象垃圾一樣清除鍵的自毀機(jī)制。不過(guò)，他也做了有關(guān)免受攻擊的風(fēng)險(xiǎn)的防御成本的評(píng)估。

“理論上可以把芯片放在電子顯微鏡下提取密鑰，但是實(shí)際上我們屏蔽芯片，因此電子顯微鏡不能真正看到在芯片內(nèi)部發(fā)生了什么事情。”羅德威斯說(shuō)。

“如果你有一個(gè)硬件加密設(shè)備，在閃存中密鑰存儲(chǔ)，別人打開(kāi)了設(shè)備，并把探頭放在加密芯片和閃存之間提取密鑰的方式是比較常見(jiàn)的。”他說(shuō)，“這是相當(dāng)普遍的，如果一些人想訪問(wèn)你的數(shù)據(jù)，而酒店沒(méi)有提供相應(yīng)的安全保護(hù)的話。”

“很多的談話是圍繞高科技黑客......但很多數(shù)據(jù)丟失還是很常見(jiàn)，”他說(shuō)，像U盤(pán)器或移動(dòng)硬盤(pán)都很容易在火車、飛機(jī)，汽車、酒店等丟失。“加密設(shè)備制造商多年來(lái)一直在談?wù)撨@種事情，它不是新的觀點(diǎn)，現(xiàn)在談?dòng)悬c(diǎn)無(wú)聊。”

對(duì)移動(dòng)設(shè)備的加密的需要是顯而易見(jiàn)的，但服務(wù)器上的數(shù)據(jù)也可很容易被盜取，如果它不是加密的話，因?yàn)橛械慕M織的服務(wù)器有時(shí)很容易進(jìn)入。

其中一個(gè)臭名昭著的例子發(fā)生在2003年8月27日位于悉尼機(jī)場(chǎng)的澳大利亞海關(guān)服務(wù)的國(guó)家貨運(yùn)情報(bào)中心。自稱是IT外包提供商EDS公司技術(shù)人員的盜賊偷走了兩個(gè)組織的四臺(tái)服務(wù)器，而被盜走的還有大量的情報(bào)數(shù)據(jù)。

“竊賊長(zhǎng)的有些像中東、巴基斯坦或印度人，提供了EDS公司訪問(wèn)主機(jī)房的假證件”悉尼先驅(qū)晨報(bào)報(bào)道說(shuō)。

“那天晚上，盜賊用手推車裝載兩個(gè)服務(wù)器經(jīng)過(guò)了三樓的保安處，進(jìn)入電梯，并走出大樓，整個(gè)過(guò)程花費(fèi)兩個(gè)小時(shí)。”

羅德威斯表示，他“很少”看到在服務(wù)器部署上加密措施，而那些黑客具有跨越許多垂直行業(yè)，并有一些客戶群。

“當(dāng)你聽(tīng)到人們談?wù)撍鼤r(shí)，可能談?wù)摰氖切庞每ōh(huán)境，如果你要求加密的信用卡信息，我認(rèn)為最常用的方法是在數(shù)據(jù)庫(kù)內(nèi)進(jìn)行加密。”他說(shuō)。“這是典型的，因?yàn)樗@得了基于主機(jī)的加密。”

事實(shí)上，任何一種對(duì)組織的物理訪問(wèn)措施通常都是不夠的。

“當(dāng)有人進(jìn)入一個(gè)組織的工作站時(shí)，那么游戲就結(jié)束了，因?yàn)橐獑?dòng)備用媒質(zhì)獲得的原始數(shù)據(jù)是微不足道的。”羅德威斯說(shuō)。

“在我們所做的幾乎每一個(gè)滲透測(cè)試中，我們看到，工作站的本地管理員的密碼與組織的每一個(gè)本地管理員密碼相同。”他說(shuō)。這可能是因?yàn)樵摻M織已復(fù)制密碼到工作站中，并作為其標(biāo)準(zhǔn)操作環(huán)境(SOE)推出，或僅僅是因?yàn)镮T工作人員需要能夠有效將信息從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)。

“如果你妥協(xié)一個(gè)端點(diǎn)，你會(huì)得到本地管理員密碼，那次十有八九這個(gè)游戲結(jié)束了，你重新使用這些憑據(jù)進(jìn)入環(huán)境中，你不需要訪問(wèn)主要管理主機(jī)。你只需要訪問(wèn)本地管理工作站，你就可以進(jìn)入。”

而這樣使得事情變得更糟糕。即使是物理上滲透，組織通常是不想面對(duì)這樣的情況。

“最成功的攻擊案例是，組織面臨著大量網(wǎng)絡(luò)釣魚(yú)電子郵件的威脅，并利用最終用戶的工作站來(lái)攻擊網(wǎng)絡(luò)的其他部分。”羅德威斯說(shuō)。

“從外部看，你仍然看到人們?cè)谠O(shè)計(jì)他們的應(yīng)用程序時(shí)，但從本質(zhì)是一種有缺陷的選擇。”他說(shuō)。

設(shè)計(jì)不佳的一個(gè)常見(jiàn)的指標(biāo)是用戶把自己的明文密碼通過(guò)電子郵件發(fā)送回給他們，羅德威斯稱之為“立即失敗”。

“事實(shí)上，他們?nèi)匀欢ㄆ谠跀?shù)據(jù)庫(kù)中存儲(chǔ)未加密的密碼值。所以黑客立刻知道他們的身份驗(yàn)證模塊設(shè)計(jì)的整體思路，大概是如何保護(hù)的，這是直接的標(biāo)志，他們?cè)谥安粫?huì)做任何事情，95%的時(shí)間是正確的。”羅德威斯說(shuō)。

IBRS安全分析師詹姆士·特納表示，這一切其實(shí)是反對(duì)把太多精力投入到對(duì)數(shù)據(jù)進(jìn)行加密的參數(shù)上。

“需要詢問(wèn)全磁盤(pán)加密的問(wèn)題是‘什么是攻擊，如何才能真正地預(yù)防?’如果計(jì)算機(jī)正在運(yùn)作，別人如何實(shí)際使用它，那么全磁盤(pán)加密真的沒(méi)有保護(hù)任何東西嗎?黑客可以通過(guò)網(wǎng)站漏洞或什么缺陷，并獲得所有明文的東西，”特納說(shuō)。“加密雖然很重要，但并不是組織投入全部精力的事情。羅德威斯的策略是非常有效的。而認(rèn)證是我看到的許多組織面臨的挑戰(zhàn)。”

特納引述一個(gè)首席信息安全官(CISO)的觀點(diǎn)，并尋求身份管理廠商的建議。“采取一個(gè)身份管理項(xiàng)目的工作。”首席信息安全官表示。

“這就是問(wèn)題所在。身份認(rèn)證其實(shí)是真的很難。”特納說(shuō)。

“密鑰管理，也有解決方案。難道這樣做的就可以嗎?可能不是。它將是我們面臨的問(wèn)題之一，因?yàn)槲覀冮_(kāi)始越來(lái)越多地進(jìn)入云計(jì)算。而企業(yè)的數(shù)據(jù)加密將變得越來(lái)越重要嗎?是的，數(shù)據(jù)加密將直接與企業(yè)所投入的數(shù)據(jù)的價(jià)值成正比。而云供應(yīng)商都在全力以赴地解決這些事情。”

在人事管理(OPM)的美國(guó)辦公室最近海量數(shù)據(jù)破壞似乎支持特納的觀點(diǎn)。加密“不會(huì)在這個(gè)情況下幫助”，國(guó)土安全部助理部長(zhǎng)的網(wǎng)絡(luò)安全安迪Ozment博士部據(jù)說(shuō)在國(guó)會(huì)作證時(shí)，因?yàn)楣粽攉@得了有效的用戶憑據(jù)。

最近，美國(guó)辦公室人事管理(OPM)部門(mén)大量數(shù)據(jù)泄露的事件似乎支持特納的觀點(diǎn)。在這種情況下，加密不會(huì)有什么幫助。致力于網(wǎng)絡(luò)安全的美國(guó)國(guó)土安全部助理部長(zhǎng)安迪·奧茲曼博士在國(guó)會(huì)作證時(shí)表示，攻擊者已經(jīng)獲得了有效的用戶憑據(jù)。

特納并沒(méi)有得到多少關(guān)于全磁盤(pán)加密的查詢信息。

“如今，我們知道加密不是一個(gè)絕對(duì)優(yōu)先級(jí)的事情。”特納說(shuō)，“因此，加密不是不重要，但并不是全部和最終一切，它只是我們需要使用的工具之一...這有點(diǎn)像DLP數(shù)據(jù)丟失防護(hù)技術(shù)。”他說(shuō)。

“對(duì)于被留在機(jī)場(chǎng)一個(gè)筆記本電腦來(lái)說(shuō)，全盤(pán)加密才能提供真正的安全。”