POODLE攻擊促使很多企業(yè)更新其安全做法，以避免因客戶端或服務(wù)器回退到安全套接字層(SSL)3.0導致的企業(yè)加密漏洞(SSL 3.0是比較舊的，但廣泛用于加密傳輸數(shù)據(jù)的通信協(xié)議)。谷歌在2014年10月發(fā)現(xiàn)SSL 3.0漏洞。

[[167320]]

美國信用評分機構(gòu)FICO因FICO評分及欺詐防護分析而出名，表示這種針對POODLE漏洞利用的中間人攻擊威脅需要在內(nèi)部更新其服務(wù)器。此外，F(xiàn)ICO要求客戶修復自己的軟件來支持傳輸層安全(TLS)加密，即SSL 3.0的替代者。

首席信息安全官Vickie Miller表示，F(xiàn)ICO已覆蓋所有加密選項，并遵循著這一領(lǐng)域正取得的所有進步。然而，這種策略并不意味著“沒有任何問題”，Miller承認他們在管理異構(gòu)加密生態(tài)系統(tǒng)時面臨一些挑戰(zhàn)。她稱：“但這是擁有多樣化加密功能的可以接受的折衷的辦法。”

加密，有時也被稱為密文，是種很強大的工具，但加密的部署存在風險，從安全握手到加密算法選擇再到公鑰及密鑰。

“在信息安全領(lǐng)域，我們專注于機密性、完整性和可用性，”Pershing Technologies LLC公司網(wǎng)絡(luò)安全副總裁Joel Bilheimer表示，“我有很多客戶表示他們并不需要擔心數(shù)據(jù)的保密性，因為其已經(jīng)加密。”然而，他也指出：“如果沒有正確地部署，加密可能不會帶來任何好處，但卻讓人有安全的錯覺。”

了解你的算法和密鑰

Johnson & Johnson公司信息安全前負責人Rich Guida表示，他了解到，企業(yè)成功的加密部署需要確保多個方面的最佳做法。首先，必須選擇合適的加密和密鑰大小(用于加密或解密的變量隨機比特數(shù)量)以確保安全性。

Guida現(xiàn)在管理著自己的咨詢公司Guida Technology Associates，他說道：“我可以從個人經(jīng)驗告訴你，現(xiàn)在有很多供應(yīng)商在銷售專有的加密算法。”如果加密是定制化的，這意味著他們并不了解真正的問題。加密算法應(yīng)該被公眾所知，從而你可以了解其工作原理，因為最終你需要依靠的是密鑰而不是算法。

其次，你需要確保企業(yè)加密戰(zhàn)略的部署符合該算法需要遵守的標準。Guida稱：“通常情況下，這意味著需要得到標準與技術(shù)研究的認可。”對于大多數(shù)企業(yè)而言，也就是高級加密標準(AES)，這是美國聯(lián)邦政府在2002年通過的NIST電子數(shù)據(jù)加密規(guī)范，該規(guī)范已在全世界使用，并已經(jīng)擴展到私營機構(gòu)。

作為ISO/IEC18033-3數(shù)據(jù)保密標準的一部分，AES算法是一種對稱密鑰塊，它使用相同的密鑰來加密明文和解密密文。“在過去幾年，人們確實發(fā)現(xiàn)了AES算法中的一些漏洞，”Guida稱，“但它并沒有攻破，它仍然是聯(lián)邦政府采用的標準。”另外，AES可通過簡單地部署更長的密鑰長度以隨著時間的推移而增加，256位目前排在第一，未來512位可能會取代它。

你還必須確保加密密鑰(以及任何相關(guān)信息)得到適當控制和保護，讓他人沒有辦法來推導出變量字符串。他表示：“如果沒有適當?shù)谋Ｗo，這就像你鎖好門，把鑰匙留在門口墊子下面。”

Forrester Research副總裁兼高級分析師John Kindervag也認為密鑰管理是目前企業(yè)加密面臨的最大挑戰(zhàn)。但是，我們需要比公鑰基礎(chǔ)設(shè)施更好的做法，因為從操作角度來看該技術(shù)很復雜。PKI是由軟件、硬件、數(shù)字證書及政策組成的框架，它會捆綁公鑰與身份信息，識別人員和計算機以確保安全加密。Forrester認為，必須接受的獨立加密函數(shù)的數(shù)量意味著沒有供應(yīng)商可能提供基于PKI的統(tǒng)一加密系統(tǒng)。

Kindervag指出，API在其他用例中已證明的價值為加密子系統(tǒng)之間支持交互提供了模式。假設(shè)這種趨勢出現(xiàn)，F(xiàn)orrester預測這將刺激集中式或企業(yè)密鑰管理系統(tǒng)的增長。

糟糕的部署

加密通常是可行的，但大多數(shù)與該技術(shù)有關(guān)的問題在于其部署，而不是使用。TokenEx公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Alex Pezold表示：“我的意思是，如果你嘗試暴力破解AES256加密的文本，我們將永遠不會看到AES 256推送的初始文本。”但是，如果攻擊者正在尋找用于加密該數(shù)據(jù)的加密密鑰，那這就是薄弱點所在。

密鑰管理是構(gòu)建企業(yè)加密戰(zhàn)略的最大挑戰(zhàn)之一，因為解密密文的密鑰需要位于環(huán)境中的某處，而攻擊者通常知道去哪里找。那些需要定期訪問加密數(shù)據(jù)的企業(yè)通常把加密密鑰放在數(shù)據(jù)庫管理系統(tǒng)內(nèi)的存儲流程中，而這部分通常沒有得到充分保護。另一個風險因素是SSL，最近SSL遭到攻破，可能讓你無法再使用它。

為了部署更好的企業(yè)加密戰(zhàn)略，首先你要問：加密密鑰保管在哪里，誰擁有所有權(quán)?很多面向消費者的云服務(wù)在服務(wù)層保存私鑰，這意味著你的數(shù)據(jù)可能會被該服務(wù)的管理員訪問。這有利于提高可用性，但會影響保密性。

有的信息安全計劃允許個人在忘記密碼后恢復個人數(shù)據(jù)，但這與有多個冗余訪問點的計劃截然不同。你是在為消費產(chǎn)品考慮加密，還是為企業(yè)數(shù)據(jù)考慮加密?這決定著你的安全和風險管理。Bilheimer稱：“前者通常只能由個人訪問，而后者必須可供大量用戶訪問。”

如果你的加密戰(zhàn)略是為了構(gòu)建PKI，你需要確保你可抵御中間人攻擊。如果你計劃隨著時間的推移來存檔數(shù)據(jù)，那么，你需要保管你的密鑰并考慮加密過期問題。

監(jiān)管問題

對個人可識別信息(PII)和其他敏感數(shù)據(jù)的加密并不會幫助企業(yè)免受監(jiān)管審查或干預。隱私性與國家安全之間的平衡正在轉(zhuǎn)變，美國和歐洲的情報機構(gòu)與執(zhí)法部門就在辯論新近提出的加密法案。

很多數(shù)據(jù)隱私法必須通過加密來應(yīng)對，其中一大推動力是數(shù)據(jù)存儲要求，在Kindervag看來，這基本不太可能部署，然而，隱私的問題必須解決。

加密數(shù)據(jù)也可幫助企業(yè)應(yīng)對很多數(shù)據(jù)泄露披露法案。這個先例最早是這種法案的“鼻祖”：美國加州安全泄露事故信息法案(SB-1386)。這個加州法案于2003年通過，它要求保管個人信息的企業(yè)在其未加密PII遭泄露時通知這些個人。有些司法管轄區(qū)試圖禁止加密，但這種做法已經(jīng)不再實用。

企業(yè)需要密切關(guān)注國際數(shù)據(jù)隱私法及許可或其他與加密工具相關(guān)的法規(guī)。有些國家要求企業(yè)在必要的情況下解密他們?nèi)魏萎a(chǎn)品中的信息。“可以這么說，你必須有開箱子的能力，”Guida稱，雖然他強調(diào)他不是律師，“這可能給企業(yè)帶來很大的負擔。”

Pezold稱：“出于保護數(shù)據(jù)隱私性的目的，加密應(yīng)該廣泛部署，雖然這不可能讓每個人都滿意。最終，與任何技術(shù)一樣，加密的強度完全在于其部署。如果沒有適當部署，或者用于確保加密的組件沒有得到適當保護，那么，加密技術(shù)也存在風險。”