我在谈论我的一个好朋友谁经营一家软件开发公司的安全性。他是一个非常聪明的,技术娴熟的球员,但他采取了加密功能是不积极的。虽然他完全了解的需要,他讨厌加密(和安全性一般),因为他说,它总是得到的时候,他正试图完成工作的方式。在这方面,我不认为他是从大多数人在高科技的世界,不同的,或者更确切地说,在商业世界中一般。
人们之所以普遍不喜欢加密,是因为当加密实际上是完成工作路上的减速带时,它似乎没有价值。尽管入侵和黑客行为大幅增加,但加密的好处难以量化。因此,除了偏执狂和安全极客之外,加密传统上一直被视为附加在其他更简单的安全措施之上的一种腰带。
波耐蒙研究所
趋势对企业广泛使用加密技术。
企业加密增加
我写的"传统上被看到"是因为一份新的报告,2016加密应用趋势研究,由波耐蒙研究所代表泰雷兹电子保安,表明:
...显著越来越多的企业正在拥抱一个企业级的加密策略 - 在今年的研究增加了2005财年37%的15%。
该研究调查了11个国家14个行业部门的5009名受访者,并将受访者分为两组:“成熟”组织和“不成熟”组织,前者拥有企业加密战略,后者没有企业加密战略或采用了特别方法。他们的结论是:
除了互联网通信之外,成熟公司的广泛使用率在每一种加密应用类别中都要高于不成熟公司的广泛使用率。成熟和不成熟公司之间加密应用差异最大的是:(1)大数据存储(差异16%),(2)公共云服务(13%),(3)商业应用(13%)和(4)私有云基础设施(11%)。
换句话说,在这些应用领域,成熟的公司比不成熟的公司得到了更好的保护,某些行业比其他行业部署了更多的加密:
具有最高总广泛使用率行业:金融服务(56%),医疗保健及制药(49%),以及技术和软件(48%)。最低的使用率是在制造业(25%),消费电子产品(27%)和娱乐及媒体(27%)。
谁拿到钥匙了?
该报告很值得一读,尤其是真正打动我一个项目;这一发现,企业的59%委托其加密密钥来单独或与云服务供应商分享!这主要有两个原因一个非常糟糕的主意。首先是企业信任云服务提供商的基本上未经检验合格,并在供应商违约将可能暴露企业的内容。正如我们已经看到在过去的几年中,电信运营商并不总是即将举行的有关违反的规模和他们的主要利益将趋于减少自己的品牌受损。
第二,如果我们谈论的是美国,根据Law360当涉及到电子存储信息(ESI)时:
民间反对者和政府可能会获得…直接来自云服务提供商的ESI,在某些情况下不给文件所有者通知或控制生产的机会。
......值得注意的是,美国爱国者法案的规定,允许政府直接从云服务提供商为国家安全目的获取信息。首先,外国情报监视法(FISA)订单让FBI获取存储在云中的数据。FISA订单包括“插科打诨”的规定,从提醒其客户以披露禁止的云服务提供商。
其次,国家安全信函(NSL)允许某些政府机构,如联邦调查局,以获得有关政府的调查数据。至于云服务提供商,政府可能会寻求大多属于服务,帐户名和用户的用户信息的长度有限的信息。像FISA顺序,一个NSL包括“插科打诨”的规定。然而,不同于FISA秩序,国家安全信函不需要法院批准,因此可以直接由政府机构签发。
加密处方
在Law360文章的作者,蒂莫西·M. Broas和马修M.撒克逊温斯顿斯特朗有限公司,结论与一些优秀的建议:
- 将ESI在云之前,评估你的风险状况。例如,商业秘密和类似的敏感信息,可能是公司自己的服务器上更安全。
- 仔细考虑你的云供应商是谁,是否能为你的ESI提供足够的保护。
- 考虑加密您决定放置在云中的ESI。
- 在签署云服务协议之前,就您的ESI的所有权、访问权和生产等方面的某些条款进行协商。
- 确保您能够到位和提取数据依照法律保留到电子发现。
请注意,关于加密您的ESI的第四点还应该加上“不要与云提供商共享您的密钥!”
内维尔伍顿
企业加密RUSH
所以,大画面是企业的速度越来越快,今天采用的企业级加密策略,接受调查的企业中约41%的“粗放型”加密部署。有趣的是企业的加密策略采用的加速一直伴随在加密支出减少;直到2012年出现了采纳和预算,但此后,相关一直是负的相关关系,因为,该报告提供了三种原因下降趋势:
...(1)价压力从供应商之间的竞争日趋激烈,(2)得到的变化的优先事项其他IT安全解决方案的区域,(3)更有效地利用目前可用的加密工具。
预算减少和企业需求增加的结果是,包括公共云在内的交钥匙解决方案成为最简单和最便宜的方式。风险在于,除非Broas和Saxon的建议得到遵守,加密密钥不与云提供商共享,否则保持加密的ESI的安全性和私密性可能没有企业想象的那么可靠。
评论?想法吗?把你的指导发邮件给我或者在下面评论,然后跟随我推特和脸谱网。