POODLE攻击促使很多企业更新其安全做法,以避免因客户端或服务器回退到安全套接字层(SSL)3.0导致的企业加密漏洞(SSL 3.0是比较旧的,但广泛用于加密传输数据的通信协议)。谷歌在2014年10月发现SSL 3.0漏洞。
美国信用评分机构FICO因FICO评分及欺诈防护分析而出名,表示这种针对POODLE漏洞利用的中间人攻击威胁需要在内部更新其服务器。此外,FICO要求客户修复自己的软件来支持传输层安全(TLS)加密,即SSL 3.0的替代者。
首席信息安全官Vickie Miller表示,FICO已覆盖所有加密选项,并遵循着这一领域正取得的所有进步。然而,这种策略并不意味着“没有任何问题”,Miller承认他们在管理异构加密生态系统时面临一些挑战。她称:“但这是拥有多样化加密功能的可以接受的折衷的办法。”
加密,有时也被称为密文,是种很强大的工具,但加密的部署存在风险,从安全握手到加密算法选择再到公钥及密钥。
“在信息安全领域,我们专注于机密性、完整性和可用性,”Pershing Technologies LLC公司网络安全副总裁Joel Bilheimer表示,“我有很多客户表示他们并不需要担心数据的保密性,因为其已经加密。”然而,他也指出:“如果没有正确地部署,加密可能不会带来任何好处,但却让人有安全的错觉。”
了解你的算法和密钥
Johnson & Johnson公司信息安全前负责人Rich Guida表示,他了解到,企业成功的加密部署需要确保多个方面的较佳做法。首先,必须选择合适的加密和密钥大小(用于加密或解密的变量随机比特数量)以确保安全性。
Guida现在管理着自己的咨询公司Guida Technology Associates,他说道:“我可以从个人经验告诉你,现在有很多供应商在销售专有的加密算法。”如果加密是定制化的,这意味着他们并不了解真正的问题。加密算法应该被公众所知,从而你可以了解其工作原理,因为较终你需要依靠的是密钥而不是算法。
其次,你需要确保企业加密战略的部署符合该算法需要遵守的标准。Guida称:“通常情况下,这意味着需要得到标准与技术研究的认可。”对于大多数企业而言,也就是高级加密标准(AES),这是美国联邦政府在2002年通过的NIST电子数据加密规范,该规范已在全世界使用,并已经扩展到私营机构。
作为ISO/IEC18033-3数据保密标准的一部分,AES算法是一种对称密钥块,它使用相同的密钥来加密明文和解密密文。“在过去几年,人们确实发现了AES算法中的一些漏洞,”Guida称,“但它并没有攻破,它仍然是联邦政府采用的标准。”另外,AES可通过简单地部署更长的密钥长度以随着时间的推移而增加,256位目前排在较早,未来512位可能会取代它。
你还必须确保加密密钥(以及任何相关信息)得到适当控制和保护,让他人没有办法来推导出变量字符串。他表示:“如果没有适当的保护,这就像你锁好门,把钥匙留在门口垫子下面。”
