追溯到网络通信安全之初,数据安全人员就不得不面临使用证书的挑战。Web证书是传输层安全通信的基础,可提高网站连接的安全性,通常显示为“https”中的“s”。作为对用户、服务器、机器、物联网设备和接入点进行身份验证的核心部分,是用户在各种情况下保护自己的第一步。现在,当谈到加密风险时,似乎越来越难以绕过证书、加密密钥和保护数据的算法等主题。什么是加密风险?加密风险是用于指示用户数据在加密下的安全程度的指标。在此背景下,专家使??用“数据风险”来指代未受保护的敏感数据,使用“平台风险”或“基础设施风险”来指代计算机系统中未修补漏洞的物理位置或系统内的安全性。为了评估这些风险标准,公司采用了一系列工具来检测从未受到保护的敏感用户数据,例如社会安全号码、信用卡信息以及操作系统和应用程序中未修补的漏洞。然而,许多企业组织并没有一套有效的风险度量工具来检测数据在加密保护下的安全程度。换句话说,目前没有合适的方法来衡量密码风险。创建加密风险标准有助于进一步提高数据安全性。该标准应考虑使加密数据不安全的所有因素,这可能涉及回答以下一些问题:可以使用哪种算法来确保密码的完整性?(如MD-5、SHA-1、SHA-236、SHA-236、SHA-3等)与保护用户数据和企业业务一致的加密密钥长度是多少?(如AES-128、AES-256等)使用哪种算法来完成加密(如MD-5、SHA-1、SHA-236、SHA-3等)?您的证书何时到期(例如12月31日午夜)?谁颁发了您的证书,它是如何验证的,它可以(或已经)被撤销吗?企业当前系统和应用程序安装了哪些加密库或软件?它们是否足以保护数据?就像恶意软件和事件管理一样,问题比比皆是。然而,知道这个问题答案的企业,就知道如何长期使用和管理自己的加密资产,并能持续评估哪些有效资产真正保护了企业数据。“量子计算机来了!”或许量子发展在加密风险评估方面已经落后,但故事并不止于此。一旦达到算力的门槛,安全团队就面临着加密方面的巨大挑战。量子时代,乃至计算时代,有望解决传统二进制计算机目前无法解决的实际问题。量子计算机备受期待的原因之一是它们可以有效地执行Shor和Grover的算法。Shor'salgorithm,即秀尔算法,于1994年被发现,是一种用于整数分解的量子算法。Grover算法是Grover于1996年提出的一种量子搜索算法,是一种对空间进行完备搜索的优化算法。这两种算法在追踪加密密钥方面比传统计算方法耗时少得多。当量子计算机能够实现这两种算法,并以合理的价格广泛提供给消费者时,我们将看到攻击者削弱现有对称算法(如AES)的加密强度,并能够有效地消除现有加密。有非对称算法(比如现在常用的RSA或者ECC)。目前,我们还没有,事实上,我们甚至没有量子计算机,更不用说消除RSA密钥强度了。虽然有专家认为再过20年就会实现,但这只是预测。美国国家标准与技术研究院(NIST)已开始着手引入新的抗量子加密算法。这些后量子密码学(PQC)算法有望抵抗量子计算机的强大功能。目前,IBM和NIST正在合作开展CRYSTALS项目,正在评估两种算法,希望在未来几年内使用新算法并将其标准化。使用能够承受下一代计算机强大功能的加密算法有助于为专业人员提供保护关键数据甚至存档数据的新方法。今天的加密风险,如果不是量子计算机出现带来的风险,其他加密风险也迫在眉睫,包括一些简单但长期存在的问题,例如使用过时的加密算法、短密钥和来历不明或即将被淘汰的证书。过期。如果这些问题未被发现或未得到管理,它们代表着对数据保护和企业业务连续性的迫在眉睫的威胁。Microsoft和Let'sEncrypt最近强调了证书管理不当如何对业务连续性产生负面影响。因此,随着业务的深入,问题会变得越来越复杂,采取合适的方法来处理这个问题是非常重要的。例如,Apple的做法是主动阻止任何超过一年的信任证书。否则,黑客可以充分利用企业不系统的证书管理,伪造证书安全警告,感染企业计算机。因此,加密资产(如证书、密钥、算法和库)管理不当或不管理是一个严重的问题,不仅影响业务连续性,也给黑客提供了寻找企业数据安全漏洞的机会。加密风险是一个非常普遍的问题,需要引起重视和解决。加强数据安全链数据安全门,我们上了锁,加了链条,但是现在,锁老了,链条生锈了,防护力度也很弱。如果企业数据存在风险,数据安全团队有责任测试每个环节的防护强度,并采取措施对整个链条进行加固。在加密方面,我们有很多地方需要加强,比如算法、可变密钥大小、证书、非对称密钥对、对称密钥、旋转密钥、密钥分发等。为了解决加密风险,需要一种方法以简化的组合视图显示与加密货币相关的风险的总体趋势。如果没有衡量这种加密风险的方法,安全团队就无法管理它。
