将易于使用的加密軟件作爲IT安全的關鍵所在

發布日期:2017-10-19首頁 > 安全資(zī)訊

8677-1G016111I1J8.jpg

人們使用加密軟件是理所當然的事嗎(ma)?波士頓的創業廠商(shāng)PreVeil公司認爲已經得到了答案。那麽該公司能否說服其工(gōng)作人員(yuán)使用加密軟件來保護信息嗎(ma)?

  截至2017年初,PreVeil公司已有大(dà)約1,000位用戶,40家客戶采用了PreVeil軟件的試用版本,相信能夠确定關于員(yuán)工(gōng)使用加密措施的事實:大(dà)多數人不能确保每天大(dà)量傳輸的數據安全。

  正如PreVeil公司聯合創始人,總裁兼首席執行官Randy Battat所言,即使面對大(dà)量的數據洩露,很多企業員(yuán)工(gōng)仍然忽視基本的安全最佳實踐,不能很好地保護密碼或頻(pín)繁更改密碼。

  他補充說,不僅企業員(yuán)工(gōng)的安全措施不能起到很好的防禦作用,企業的軟件和硬件也仍然存在讓攻擊者繼續利用的漏洞。大(dà)多數IT組織仍然堅持部署傳統的防禦措施,如防火(huǒ)牆和訪問控制,以應對日益增強的網絡不良行爲。而那些使用加密技術的企業的安全措施通常還不夠全面和深入。Battat認爲,這是因爲他們隻是在一(yī)段時間内使用加密措施,例如他們隻加密傳輸中(zhōng)的敏感數據,但在其他方面卻很少這樣做。

  Battat表示,PreVeil公司在一(yī)開(kāi)始就假設所有服務器都可能被黑客入侵,而采用的IT安全軟件要簡單易用。他的結論是,端到端加密電(diàn)子郵件,文件共享,以及存儲的新應用程序的加密可以抵禦不可避免的攻擊,但敏感數據容易得到攻擊。

  加密的使用悄然興起

  那麽到目前爲止,企業使用加密技術的阻力有多大(dà)呢?

  PreVeil公司的目标是使加密和數據保護變得更加容易,人們通常對日常事務使用加密技術,而不是非常專業的商(shāng)業應用程序。

  當然,企業對網絡安全的關注以及安全工(gōng)具的使用也越來越多。根據技術研究機構Gartner公司預測,2017年全球信息安全産品和服務支出将達到864億美元,比2016年支出增長7%,2018年的支出将達930億美元。而上升趨勢的一(yī)部分(fēn)是使用加密技術。

  開(kāi)源社區Mozilla在今年早些時候表示,其開(kāi)源網絡浏覽器Firefox的加密網絡流量平均數量超過了50%,超過了未加密的平均數量。

  同時,今年4月發布的“2017年全球加密趨勢研究報告”顯示,40%的受訪者表示,他們的公司“擁有一(yī)套貫穿整個企業的加密策略”,高于兩年前的37%。隻有14%的受訪者表示他們的組織沒有加密策略。該研究由Thales e-Security主張,由波洛蒙研究所獨立進行,對11個國家的4,802名業界人士進行了調查。

  加密策略的流行程度(如果不一(yī)緻的應用程序)是否表明廣泛采用加密技術僅僅是個轉折點呢?

  PreVeil公司的Randy Battat說,黑客的主要目标之一(yī)是管理員(yuán),其超級用戶權限允許系統遭到破壞時獲得有價值的訪問。

  爲了減輕這種風險,PreVeil工(gōng)具使用存儲的密鑰,一(yī)個77位數的數字,而不是密碼,它不會将其解密的密鑰放(fàng)在加密數據存儲的服務器上。“服務器永遠不會看到你的數據,如果服務器看不到你的數據,那意味着攻擊服務器的黑客永遠不會看到你的數據。”Battat解釋說。

  此外(wài),PreVeil公司技術可以跨管理員(yuán)分(fēn)發行動,以防止攻擊。 Battat說,使用PreVeil軟件的組織需要建立批準組,而他們的關鍵任務之一(yī)就是批準丢失的密鑰請求。

  所有這些都是在後台發生(shēng)的,而用戶隻需要基本上使用下(xià)拉式點擊啓用加密功能,Battat表示,電(diàn)子郵件收件人可以輕松添加PreVeil技術來解密發送的電(diàn)子郵件和共享文件。

  他說:“這是你的工(gōng)作方式,我(wǒ)們需要使安全性易于使用。”

  對許多人來說使用加密技術令人望而卻步

  分(fēn)析師通常不太了解PreVeil技術,所以這些網絡安全和加密專家表示,他們無法具體(tǐ)說明其技術和功能是否對現有加密産品進行了改進,以及PreVeil是否能夠在已經很強大(dà)的市場中(zhōng)獲得成功。

  451 Research公司的信息安全團隊首席分(fēn)析師Garrett Bekker表示,大(dà)多數加密供應商(shāng)都承諾使加密變得容易,而且它們通常具有比前幾代技術更好的功能。

  他說:“有些公司已經聲稱已經使用加密技術,并變得更加簡單,而且它們是有效的。”他解釋說,要求用戶采取甚至一(yī)個額外(wài)的步驟可能是太多了。這可能看起來很瑣碎,但是(許多用戶看到它)在使用的時候,就必須要求有人點擊這個或選擇那個下(xià)拉菜單。

  Bekker說,其他障礙仍然是更廣泛的采用。

  他說:“一(yī)般來說加密的成本包括硬性成本或軟性成本,例如用戶使用不方便,中(zhōng)斷工(gōng)作流程或增加延遲,實際上可能會幹擾應用程序的功能。加密也可以使搜索存儲的數據和歸檔數據面臨一(yī)定的困難。”

  Bekker說:“這并不是說這些是不能解決的問題,而是會帶來一(yī)些挑戰。”

  此外(wài),他表示加密技術供應商(shāng)還沒有幫助企業克服最棘手的挑戰之一(yī):如何開(kāi)始。

  他說:“企業可能會有數PB的數據和數據庫,他們擁有甚至自己都不知(zhī)道的數據,而且非結構化的數據,如Word文件散布在整個地方,他們不知(zhī)道從哪裏開(kāi)始着手。”

  Bekker解釋說,有些組織開(kāi)始運行發現掃描來識别應加密的敏感信息,但即使如此,大(dà)多數公司仍然認爲建立加密程序是一(yī)項艱巨的任務。

  位于美國北(běi)卡羅來納州格林斯博羅的一(yī)家托管型互聯網安全解決方案提供商(shāng)Secure Designs公司的首席技術官Ron Culler表示,盡管具有廣泛的技術可用性,但許多公司不願廣泛使用加密技術。他們會将其用于特定類型的數據或某些業務領域,但成本和複雜(zá)性往往會使企業不會更廣泛地使用它們。

  Culler表示,這些企業也猶豫不決,因爲實施起來很複雜(zá),業務繁瑣。即使當今的技術不像以前那樣資(zī)源密集,許多公司的工(gōng)作人員(yuán)還是不具備實施和管理的技能。

  他還指出,加密可能也會遭遇惡意代碼,因此這些代碼在加密之前不會被檢測到。他解釋說:“如果工(gōng)作人員(yuán)沒有看到發送的内容,在執行時可能會執行惡意程序。”他說,這是一(yī)種可能阻止更廣泛使用該技術的場景。

  他表示,此外(wài),加密一(yī)般不會阻止居心不良的員(yuán)工(gōng)故意洩露數據,或粗心大(dà)意的雇員(yuán)繞過安全措施,從而暴露敏感信息。

  考慮到所有這一(yī)切,Culler表示,企業應将加密視爲“一(yī)個堅實的安全策略”,需要将其視爲企業級計劃的一(yī)部分(fēn),将其視爲基于成本,複雜(zá)性和風險的真正需求的一(yī)部分(fēn)。

  Battat承認,PreVeil的技術不是靈丹妙藥。它不會阻止某人訪問沒有被密碼,訪問控制等保護的或被盜設備上的信息,并且也不會幹涉用戶不使用其加密技術。盡管如此,PreVeil團隊确信加密技術有很大(dà)的優勢,并易于使用。

  Battat說:“在商(shāng)業上所有的事務中(zhōng),即使非常小(xiǎo)的信息也需要加密。加密應該與組織當今工(gōng)作的方式相适應,因此,如果真的很容易,我(wǒ)們可以轉而去(qù)做在商(shāng)業中(zhōng)被加密的絕大(dà)多數事情。”據悉,該公司計劃在今年第四季度推出其商(shāng)業版本。