摘要：如今，监管机构和安全策略师建议在业务空闲时加密数据，但很少有组织这样做，而且大多数都是错误的做法。因为可能有更大的问题需要先解决。

   如今，监管机构和安全策略师建议在业务空闲时加密数据，但很少有组织这样做，而且大多数都是错误的做法。因为可能有更大的问题需要先解决。
　　
　　澳大利亚信息专员办公室（OAIC）对于加密个人数据进行了明了，无论是在其指导方针，还是最近的数据泄露调查中。但渗透测试厂商Hacklabs公司总监克里斯•哥特福德表示，只有很少的组织达到预期。
　　
　　“加密文件系统最好在系统空闲时对数据进行加密，它只是不会发生，”哥特福德说，“99%的企业并没有采取加密升旗，甚至还不如笔记本电脑的加密。”
　　
　　哥特福德表示，他所遇到最常见的情况就是组织的桌面工作站上没有为最终用户的信息运行任何类型的加密程序。这与OAIC所期待的相比，似乎有很长的路要走。
　　
　　OAIC并没有直接要求加密。但它的保护个人信息指南提醒组织需要采取“合理措施”，以确保信息的案例。加密是“在许多情况下重要的”，而组织需要保护的数据，无论是在服务器，数据库中备份，第三方云服务，以及最终用户设备中，其中包括智能手机和平板电脑，以及笔记本电脑，或者是便携式存储设备。
　　
　　“加密方法应定期审查，以确保它们继续保持相关性和有效性，并在需要时使用。这包括确保加密的范围足够宽，使攻击者无法访问加密信息和另外的加密拷贝。”指南说。
　　
　　OAIC最近的报告表示，其调查2013年Adobe公司的海量数据，而其实践可能意味着什么。
　　
　　Adobe公司使用相同的密钥已经加密所有用户的密码，而不是每个单独加密并散列。而密码提示是没有加密的。
　　
　　“加密和散列是一个基本的安全步骤，Adobe可以合理地实施更好的保护密码。”OAIC写道。
　　
　　“如果服务器上的数据被泄露，Adobe公司需要在其所有系统始终贯彻稳健的安全措施，但专员发现Adobe公司未能采取合理的措施来保护所有的个人信息，并导致信息滥用和损失，以及未经授权的访问，修改或披露。”
　　
　　而Adobe公司对于数据的处理违反了当时适用的法律。2014年3月12日，澳大利亚的隐私法进行了更新，要在当时和现在进行“合理步骤”测试应用。其关键的区别是，现在隐私专员可以对没有采取这些合理的步骤的组织实施高达170万美元的最高罚款。
　　
　　企业也需要保护自己的商业秘密，哥特福德表示，更成熟的企业通常更加重视加密，因为被盗的笔记本电脑将明显增加风险。
　　
　　如果用户名和密码提供零保护，一个小偷可以简单地卸下硬盘驱动器，在另一台计算机上安装，并复制数据。因此笔记本电脑的加密是必不可少的，而这同样适用于平板电脑和智能手机。
　　
　　移动设备被盗往往是有组织行动的一部分。怡敏信公司亚太地区移动安全总经理斯文•罗德威斯表示，这不仅是有关国家安全和国防信息。任何组织的知识产权都可能成为一个目标，从设计新的汽车引擎到电影或者是视频游戏。
　　
　　“特别是在一些国家经常发生一些案件，旅客入住的酒店房门被打开，笔记本电脑已经被人动过。”罗德威斯说，“这是相当普遍的，如果一些人想访问您的数据的话，而酒店却没有提供很好的安全保护。”他说。
　　
　　罗德威斯的自己旅行套件包括他个人的MacBookAir，具有多种安全软件，并采用怡敏信公司的IronKey加密的U盘。
　　
　　他说，许多其他公司也一个类似的产品，使旅客可以到达更高的风险的目的地，员工们采用的笔记本电脑提供了新安装的，有限的操作系统映像，而公司所有的数据保存加密设备上，或者运行类似的IronKey的U盘的安全移动工作空间。返回时，笔记本电脑的内容完全被摧毁。
　　
　　罗德威斯热衷于夸耀IronKey的安全功能，当然，加密芯片很难做到不破坏它的环氧树脂层，或者象垃圾一样清除键的自毁机制。不过，他也做了有关免受攻击的风险的防御成本的评估。
　　
　　“理论上可以把芯片放在电子显微镜下提取密钥，但是实际上我们屏蔽芯片，因此电子显微镜不能真正看到在芯片内部发生了什么事情。”罗德威斯说。
　　
　　“如果你有一个硬件加密设备，在闪存中密钥存储，别人打开了设备，并把探头放在加密芯片和闪存之间提取密钥的方式是比较常见的。”他说，“这是相当普遍的，如果一些人想访问你的数据，而酒店没有提供相应的安全保护的话。”
　　
　　“很多的谈话是围绕高科技黑客......但很多数据丢失还是很常见，”他说，像U盘器或移动硬盘都很容易在火车、飞机，汽车、酒店等丢失。“加密设备制造商多年来一直在谈论这种事情，它不是新的观点，现在谈有点无聊。”
　　
　　对移动设备的加密的需要是显而易见的，但服务器上的数据也可很容易被盗取，如果它不是加密的话，因为有的组织的服务器有时很容易进入。
　　
　　其中一个臭名昭著的例子发生在2003年8月27日位于悉尼机场的澳大利亚海关服务的国家货运情报中心。自称是IT外包提供商EDS公司技术人员的盗贼偷走了两个组织的四台服务器，而被盗走的还有大量的情报数据。
　　
　　“窃贼长的有些像中东、巴基斯坦或印度人，提供了EDS公司访问主机房的假证件”悉尼先驱晨报报道说。
　　
　　“那天晚上，盗贼用手推车装载两个服务器经过了三楼的保安处，进入电梯，并走出大楼，整个过程花费两个小时。”
　　
　　罗德威斯表示，他“很少”看到在服务器部署上加密措施，而那些黑客具有跨越许多垂直行业，并有一些客户群。
　　
　　“当你听到人们谈论它时，可能谈论的是信用卡环境，如果你要求加密的信用卡信息，我认为最常用的方法是在数据库内进行加密。”他说。“这是典型的，因为它获得了基于主机的加密。”
　　
　　事实上，任何一种对组织的物理访问措施通常都是不够的。
　　
　　“当有人进入一个组织的工作站时，那么游戏就结束了，因为要启动备用媒质获得的原始数据是微不足道的。”罗德威斯说。
　　
　　“在我们所做的几乎每一个渗透测试中，我们看到，工作站的本地管理员的密码与组织的每一个本地管理员密码相同。”他说。这可能是因为该组织已复制密码到工作站中，并作为其标准操作环境（SOE）推出，或仅仅是因为IT工作人员需要能够有效将信息从一台计算机移动到另一台计算机。
　　
　　“如果你妥协一个端点，你会得到本地管理员密码，那次十有八九这个游戏结束了，你重新使用这些凭据进入环境中，你不需要访问主要管理主机。你只需要访问本地管理工作站，你就可以进入。”
　　
　　而这样使得事情变得更糟糕。即使是物理上渗透，组织通常是不想面对这样的情况。
　　
　　“最成功的攻击案例是，组织面临着大量网络钓鱼电子邮件的威胁，并利用最终用户的工作站来攻击网络的其他部分。”罗德威斯说。
　　
　　“从外部看，你仍然看到人们在设计他们的应用程序时，但从本质是一种有缺陷的选择。”他说。
　　
　　设计不佳的一个常见的指标是用户把自己的明文密码通过电子邮件发送回给他们，罗德威斯称之为“立即失败”。
　　
　　“事实上，他们仍然定期在数据库中存储未加密的密码值。所以黑客立刻知道他们的身份验证模块设计的整体思路，大概是如何保护的，这是直接的标志，他们在之前不会做任何事情，95％的时间是正确的。”罗德威斯说。
　　
　　IBRS安全分析师詹姆士•特纳表示，这一切其实是反对把太多精力投入到对数据进行加密的参数上。
　　
　　“需要询问全磁盘加密的问题是‘什么是攻击，如何才能真正地预防？’如果计算机正在运作，别人如何实际使用它，那么全磁盘加密真的没有保护任何东西吗？黑客可以通过网站漏洞或什么缺陷，并获得所有明文的东西，”特纳说。“加密虽然很重要，但并不是组织投入全部精力的事情。罗德威斯的策略是非常有效的。而认证是我看到的许多组织面临的挑战。”
　　
　　特纳引述一个首席信息安全官（CISO）的观点，并寻求身份管理厂商的建议。“采取一个身份管理项目的工作。”首席信息安全官表示。
　　
　　“这就是问题所在。身份认证其实是真的很难。”特纳说。
　　
　　“密钥管理，也有解决方案。难道这样做的就可以吗？可能不是。它将是我们面临的问题之一，因为我们开始越来越多地进入云计算。而企业的数据加密将变得越来越重要吗？是的，数据加密将直接与企业所投入的数据的价值成正比。而云供应商都在全力以赴地解决这些事情。”
　　
　　在人事管理（OPM）的美国办公室最近海量数据破坏似乎支持特纳的观点。加密“不会在这个情况下帮助”，国土安全部助理部长的网络安全安迪Ozment博士部据说在国会作证时，因为攻击者获得了有效的用户凭据。
　　
　　最近，美国办公室人事管理（OPM）部门大量数据泄露的事件似乎支持特纳的观点。在这种情况下，加密不会有什么帮助。致力于网络安全的美国国土安全部助理部长安迪•奥兹曼博士在国会作证时表示，攻击者已经获得了有效的用户凭据。
　　
　　特纳并没有得到多少关于全磁盘加密的查询信息。
　　
　　“如今，我们知道加密不是一个绝对优先级的事情。”特纳说，“因此，加密不是不重要，但并不是全部和最终一切，它只是我们需要使用的工具之一...这有点像DLP数据丢失防护技术。”他说。
　　
　　“对于被留在机场一个笔记本电脑来说，全盘加密才能提供真正的安全。”
　　
　　编辑：Harris