hotline

Adattitkosítás: 4 gyakori csapda

Joe Cosmano cikke nyomán a DarkReading oldaláról

A titkosítás hatékonyságának maximalizálásához minimalizálnia kell a hálózati teljesítményben és komplexitásban jelentkező kedvezőtlen hatásokat. Az alábbiakban leírjuk, hogyan.

Az adattitkosítás alkalmazása magától értetődő, mivel támogatja a vállalatok által szükségszerűen magukévá tett mélységben tagolt védelmi stratégiát, hogy megállítsák a rosszindulatú támadókat az érzékeny hálózati fájlok megszerzésében. Azonban az adattitkosítás által biztosított extra védelmi rétegeken kívül számos olyan kompromisszum megkötésére szükség lehet a hálózati teljesítményben és komplexitásban, amelyek akkor merülhetnek fel, ha egy szervezet nem átgondoltan közelíti meg a titkosítás kérdését. A tartalom titkosításának megkezdésekor 4 olyan csapdával találkozhatnak, amelyeket el kellene kerülniük.

Egyes csapda: szabadalmazott algoritmusok

A józan ésszel ellentétesnek látszódhat az, ahogyan sok hatásos biztonsági stratégiát megterveztek és bevezettek, de mégis sztenderdizált algoritmusokon alapulnak, hogy ezekkel titkosítsák az érzékeny adatokat. Viszont valójában ez a szervezetek számára biztonságosabb, mintha saját IT csapatukat vagy fejlesztőiket arra kérnék, hogy készítsenek egy egyedülálló titkosítási algoritmust vagy egy hitelesítési rendszert. Ennek oka az, hogy a kriptográfia saját specializációja: igencsak fejlett tudományos fokozat és matematikai precizitás szükséges hozzá. Míg a házon-belüli biztonsági csapatok adott egyénei rendelkezhetnek ezekkel a magasan specializált képességekkel, a dedikált kriptográfusok figyelmüket egyedül iparági-szabványú algoritmusoknak szentelik csak, mint amilyen az IDEA 128-bit és az ARC4 128-bit – sokkal több figyelmet kíván, mint amennyit egy IT generalista vagy egy többfunkciós fejlesztő szentelni tudna, tudva, hogy mennyi más projektekkel kell foglalkozniuk.

Kettes csapda: teljes lemeztitkosítás

Habár létfontosságú annak biztosítása, hogy az adat mozgásban és nyugalmi állapotban is titkosítva legyen, meg kell fontolni, milyen rendszert használunk a titkosítás menedzselésére.

Például a teljes lemeztitkosítást arra tervezték, hogy megakadályozza az érzékeny adatokhoz történő hozzáférést, ha egy eszközt vagy annak merevlemezét eltávolították. Amikor az eszköz be van kapcsolva és egy felhasználó bejelentkezett rá, az érzékeny adatok elérhetők bárki olyan számára, aki bejelentkezett – beleértve azokat a rosszindulatú hackereket is, akik talán hátsó ajtó hozzáféréssel rendelkeznek a rendszerhez. Kerülő úton ez jól megvilágítja a kulcs menedzsmenttel kapcsolatos kihívásokat. Nem számít, hogy milyen erős a titkosítás, ha az a kulcs, amely a tartalmat egyszerű szöveges formába vissza tudja adni, elérhető az ellenség számára, akkor vége a játéknak.

Hármas csapda: szabályozásnak megfelelés

A legtöbb iparágon keresztül az adatgyűjtéssel, a szuverenitással és a tárolással kapcsolatos szabályok kiterjedtek és általában a törvényhozás rendeli el helyi és szövetségi szinten is. Míg az olyan szabályozások, mint a HIPAA, a PCI, a CJIS és a CIPA messzire mennek a nem-megfelelőség költségeinek részletezésében, kevésbé instruktívak, nem nagyon mondják meg a vállalkozásoknak, hogyan tudják azt elkerülni. Valójában ezen szabályozások jó része egyáltalán nem mis említi az adattitkosítást, még akkor sem, ha a titkosítás képes megelőzni sokat a legszörnyűbb szabályozások megtörténtét. Ezek a törvények talán egy jó kezdőpontot jelenthetnek egy biztonsági stratégia kitervelésénél, de a csapatoknak szorgalmasnak kell lenniük abban, hogy sok ilyen bírói utasítás által biztosított protokolok és szabványok sztenderd “ellenőrzőlistáján túl is lássanak és menjenek.

Négyes csapda: feloldó kulcs tárolás

Még miután a csapatok kiterjedt módon betitkosították az adataikat, sok fejlesztő elköveti azt a hibát, hogy a feloldó kulcsot ugyanazon adatbázison belül tárolja, amelyet megvédeni szándékozik. Összességében a titkosítás azt jelenti, hogy akkor is védjük az adatot, miután egy rosszindulatú személy bejutott az adatbázisunkba. Ha az összes adatot feloldó kulcs tulajdonképpen a hálózati átjáró másik oldalának “lábtörlője alatt” rejtőzik, akkor az összes titkosítási erőfesztés tulajdonképpen értelmetlennek bizonyul.

Ennek eredményeként sok csapat kutatja a “Key Encryption Key”, “Master Encryption Key” és a “Master Signing Key” titkosításokat, amelyeket máshol tárolnak el a nagyvállalati adat megvédéséhez – egy olyan lépés ez, amelyet sokan talán túlzónak találhatnak, de egy olyan legfontosabb szintű biztosítást ad, amely által a kisebb botlások nem fogják megkurtítani a nagyobb biztonsági műveleteket.

További információ angol nyelven

A honlap böngészésével elfogadja, hogy cookie-kat helyezzünk el az Ön számítógépén, hogy elemezni tudjuk, hogyan használja honlapunkat.