POODLE攻擊促使很多企業更新其安全做法，以避免因客戶端或服務器回退到安全套接字層(SSL)3.0導致的企業加密漏洞(SSL 3.0是比較舊的，但廣泛用于加密傳輸數據的通信協議)。谷歌在2014年10月發現SSL 3.0漏洞。

美國信用評分機構FICO因FICO評分及欺詐防護分析而出名，表示這種針對POODLE漏洞利用的中間人攻擊威脅需要在內部更新其服務器。此外，FICO要求客戶修復自己的軟件來支持傳輸層安全(TLS)加密，即SSL 3.0的替代者。

首席信息安全官Vickie Miller表示，FICO已覆蓋所有加密選項，并遵循著這一領域正取得的所有進步。然而，這種策略并不意味著“沒有任何問題”，Miller承認他們在管理異構加密生態系統時面臨一些挑戰。她稱：“但這是擁有多樣化加密功能的可以接受的折衷的辦法。”

加密，有時也被稱為密文，是種很強大的工具，但加密的部署存在風險，從安全握手到加密算法選擇再到公鑰及密鑰。

“在信息安全領域，我們專注于機密性、完整性和可用性，”Pershing Technologies LLC公司網絡安全副總裁Joel Bilheimer表示，“我有很多客戶表示他們并不需要擔心數據的保密性，因為其已經加密。”然而，他也指出：“如果沒有正確地部署，加密可能不會帶來任何好處，但卻讓人有安全的錯覺。”

了解你的算法和密鑰

Johnson & Johnson公司信息安全前負責人Rich Guida表示，他了解到，企業成功的加密部署需要確保多個方面的最佳做法。首先，必須選擇合適的加密和密鑰大小(用于加密或解密的變量隨機比特數量)以確保安全性。

Guida現在管理著自己的咨詢公司Guida Technology Associates，他說道：“我可以從個人經驗告訴你，現在有很多供應商在銷售專有的加密算法。”如果加密是定制化的，這意味著他們并不了解真正的問題。加密算法應該被公眾所知，從而你可以了解其工作原理，因為最終你需要依靠的是密鑰而不是算法。

其次，你需要確保企業加密戰略的部署符合該算法需要遵守的標準。Guida稱：“通常情況下，這意味著需要得到標準與技術研究的認可。”對于大多數企業而言，也就是高級加密標準(AES)，這是美國聯邦政府在2002年通過的NIST電子數據加密規范，該規范已在全世界使用，并已經擴展到私營機構。

作為ISO/IEC18033-3數據保密標準的一部分，AES算法是一種對稱密鑰塊，它使用相同的密鑰來加密明文和解密密文。“在過去幾年，人們確實發現了AES算法中的一些漏洞，”Guida稱，“但它并沒有攻破，它仍然是聯邦政府采用的標準。”另外，AES可通過簡單地部署更長的密鑰長度以隨著時間的推移而增加，256位目前排在第一，未來512位可能會取代它。

你還必須確保加密密鑰(以及任何相關信息)得到適當控制和保護，讓他人沒有辦法來推導出變量字符串。他表示：“如果沒有適當的保護，這就像你鎖好門，把鑰匙留在門口墊子下面。”

Forrester Research副總裁兼高級分析師John Kindervag也認為密鑰管理是目前企業加密面臨的最大挑戰。但是，我們需要比公鑰基礎設施更好的做法，因為從操作角度來看該技術很復雜。PKI是由軟件、硬件、數字證書及政策組成的框架，它會捆綁公鑰與身份信息，識別人員和計算機以確保安全加密。Forrester認為，必須接受的獨立加密函數的數量意味著沒有供應商可能提供基于PKI的統一加密系統。

Kindervag指出，API在其他用例中已證明的價值為加密子系統之間支持交互提供了模式。假設這種趨勢出現，Forrester預測這將刺激集中式或企業密鑰管理系統的增長。

糟糕的部署

加密通常是可行的，但大多數與該技術有關的問題在于其部署，而不是使用。TokenEx公司聯合創始人兼首席執行官Alex Pezold表示：“我的意思是，如果你嘗試暴力破解AES256加密的文本，我們將永遠不會看到AES 256推送的初始文本。”但是，如果攻擊者正在尋找用于加密該數據的加密密鑰，那這就是薄弱點所在。

密鑰管理是構建企業加密戰略的最大挑戰之一，因為解密密文的密鑰需要位于環境中的某處，而攻擊者通常知道去哪里找。那些需要定期訪問加密數據的企業通常把加密密鑰放在數據庫管理系統內的存儲流程中，而這部分通常沒有得到充分保護。另一個風險因素是SSL，最近SSL遭到攻破，可能讓你無法再使用它。

為了部署更好的企業加密戰略，首先你要問：加密密鑰保管在哪里，誰擁有所有權?很多面向消費者的云服務在服務層保存私鑰，這意味著你的數據可能會被該服務的管理員訪問。這有利于提高可用性，但會影響保密性。

有的信息安全計劃允許個人在忘記密碼后恢復個人數據，但這與有多個冗余訪問點的計劃截然不同。你是在為消費產品考慮加密，還是為企業數據考慮加密?這決定著你的安全和風險管理。Bilheimer稱：“前者通常只能由個人訪問，而后者必須可供大量用戶訪問。”

如果你的加密戰略是為了構建PKI，你需要確保你可抵御中間人攻擊。如果你計劃隨著時間的推移來存檔數據，那么，你需要保管你的密鑰并考慮加密過期問題。

監管問題

對個人可識別信息(PII)和其他敏感數據的加密并不會幫助企業免受監管審查或干預。隱私性與國家安全之間的平衡正在轉變，美國和歐洲的情報機構與執法部門就在辯論新近提出的加密法案。

很多數據隱私法必須通過加密來應對，其中一大推動力是數據存儲要求，在Kindervag看來，這基本不太可能部署，然而，隱私的問題必須解決。

加密數據也可幫助企業應對很多數據泄露披露法案。這個先例最早是這種法案的“鼻祖”：美國加州安全泄露事故信息法案(SB-1386)。這個加州法案于2003年通過，它要求保管個人信息的企業在其未加密PII遭泄露時通知這些個人。有些司法管轄區試圖禁止加密，但這種做法已經不再實用。

企業需要密切關注國際數據隱私法及許可或其他與加密工具相關的法規。有些國家要求企業在必要的情況下解密他們任何產品中的信息。“可以這么說，你必須有開箱子的能力，”Guida稱，雖然他強調他不是律師，“這可能給企業帶來很大的負擔。”

Pezold稱：“出于保護數據隱私性的目的，加密應該廣泛部署，雖然這不可能讓每個人都滿意。最終，與任何技術一樣，加密的強度完全在于其部署。如果沒有適當部署，或者用于確保加密的組件沒有得到適當保護，那么，加密技術也存在風險。”

【編輯推薦】