無懼公有雲安全隱憂！加密檔案可保資料絕對安全？

企業的保安方案我們介紹了很多，有針對 APT 攻擊、DDoS 又或者是零日攻擊。可大家又有沒有想過，這些攻擊活動的背後目的是甚麼？有的可能只為阻礙對手的業務，例如 DDoS 便是其中之一；而有些攻擊則著眼於公司的機密資料。前者我們必須依靠不同的防禦方案稍為降低網絡攻擊對業務的影響，而後者我們則可通過採取最「傳統」的方法 － 為檔案進行加密；只有為檔案進行加密工作，企業的敏感資料才可絕對安全（當然，儲存 Key 的地方必須絕對安全）。

不過部署這類型方案，往往對背後的基建要求甚高；如果你已試用過最簡單的加密軟件便會知道，針對體積愈大的檔案進行加密，往往會需要十分高的系統資源，而且亦需一定時間才可完成，因此身份認證又或者加密等類別的方案往往只有大企業才有能力部署。今次我們便針對有關問題訪問了 SafeNet 的 VP（APAC Regional Sales）Rana Gupta，並針對上述問題以及近期環球的保安趨勢進行分享。

問：記者
答：Rana Gupta － VP（APAC Regional Sales）

問：為什麼企業選擇針對資料進行加密？傳統的防禦方案就不能為資料提供終極保護嗎？
答：針對此問題，我們先了解一下傳統的防禦方案有甚麼問題。首先傳統的保安方案例如是針對用戶層面的防毒軟件，她們的做法就是需要通過推送簽名檔，從而為用戶層面的電腦進行更新及防禦工作；不過由發現新威脅、製造簽名檔到推送更新，這過程往往需要花上很多時間，而在這過程期間，用戶的電腦便有機會被進行零日攻擊或入侵，第三方亦很容易偷取到公司的機密資料；雖然傳統的防禦方案對於預防某範疇的攻擊亦十分有效，不過最有效的方法就是同時針對檔案進行加密﹐這樣萬一機密檔案被黑客偷走，黑客亦難以得知當中內容。

問：我們知道，針對不同的檔案進行加密後，假如黑客成功入侵管理員帳號並進入儲存密匙的位置取得密匙，同樣能輕易地替已加密的檔案進行解密工作，請問針對這方面你會有甚麼建議？
答：在 SafeNet 的方案之中，我們會將超級管理員的帳戶與密匙儲存位置獨立分開，而且登入的密碼亦完全不相同，情況可比喻為針對密匙管理器建立獨立於系統以外的虛擬儲存環境，所有加密、解密工作均只會在這環境之中進行，這樣便可保障到儲存密匙位置的安全性，而即使管理員帳號被入侵，黑客亦無需取得儲存的密匙。

問：Hkitblog 曾經報導過外國匿名者黑客組織的新聞，他們的攻擊基本上不是為了金錢，而是為公義發聲。他們近期宣佈發動 DDoS 攻擊 2014 世界盃的贊助商，繼而針對與他們合作的零售商，並希望以此向世人反映巴西國內抗議低收入的聲音。請問 SafeNet 有什麼技術可以幫助 2014 世界盃的贊助商防禦 DDoS 攻擊呢？
答：其實任何的網絡攻擊大多數都不是為金錢而生，很多時目的都是讓世人關注他們的行動，就正如你所提及今次匿名者黑客組織攻擊有關 2014 巴西世界杯的零售商。在這例子之中，他們主要針對公司的 DNS 服務器進行攻擊；主要通過利用殭屍電腦發動大規模 DDoS 查詢。假設公司域名是由自己內部的 DNS 服務器負責，當 DNS 服務器受到大量 DDoS 查詢後，便會造成頻寬緩慢以及服務器資源損耗，大家可想像他們客戶不能查詢零售商網上服務的域名，自然會令生意受阻，因此要在 DNS DDoS 攻擊上做好防禦措施，令風險減到最低。

問：假設零售商允許員工從遠端存取內部應用，請問有什麼方法辨認出員工的身份？據我了解市面上有一些資安產品能整合 Microsoft Active Directory 或使用者 Portal，可否與我們的讀者分享有關 SafeNet 針對身份辨認方面的技術嗎？
答：我們可以提供一站式身份辨認方法，例如 Two-Factor Authentication (雙重認證)，這個技術主要讓使用者擁有一個密碼或 PIN；又或者一個 Token 或 Smart Card，有了兩個方法作身份辨認，便可令身份認證工作更為準確，接著通過認證後，員工亦能夠遠端存取公司內部資料；而對於管理員來說，此認證工作亦大大增加了整體的安全性。

問：在智能手機的時代，零售商往往允許客戶利用 apps 購買他們的產品，儘管 apps 往往通過連接遠端數據庫進行資料儲存，但仍不能排除 apps 之內均有機會存取資料，針對此一情況，企業應採取那些措施以防止智能手機 apps 所引起的資料外洩事件？
答：除了智能手機資料外洩需要關注之外，現時雲端服務安全同樣需要關注，原因是這些雲端服務通常都是存放資料或是用來作備份，換言之都是關於公司的重要資料，萬一發生資料外洩的話，將會引起一連串問題。因此我們 SafeNet 便為用戶提供了 Endpoint Protection 技術；所謂的 Endpoint Protection 簡單來說就是一套中央管理方案，通過將所有加密鎖匙作統一中央管理；而這些加密鎖匙更可在智能手機、雲端、數據中心和虛擬環境之上採用，令不同的環境能迅間變成一個加密中心，這樣便可進一步確保資料的安全性。

其實針對檔案加密的確能防止機密資料外洩，這點大家早已得知，但問題是如何處理大量的密匙；而今次訪問之中，我們得知 SafeNet 便為用戶提供一個獨立環境儲存這些密匙，這樣便可有效防止黑客取得密匙進行解密，可以說是暫時解決了傳統加密方案最令人擔心的地方。