端到端加密通信可降低企业安全风险并确保合规性

Andrew 2020-11-09
专栏 - 企业安全 发布于 2020-11-09 17:33:13 阅读 49 评论 0

可以肯定的是,提供端到端加密(E2EE)的通信产品可以更好地保护数据。

但是,在考虑企业使用E2EE通信时,需要许多CISO在数据保护之前优先考虑法规要求。大多数《财富》 1000强合规性和安全团队都有能力访问其企业通信平台上的员工帐户,以监视活动并调查不良行为者。在受到严格监管的行业中通常需要此访问权限,并且E2EE被认为阻止了关键的公司访问权限。

不幸的是,对于大多数公司中的企业安全和合规团队而言,未经许可的通讯平台(如WhatsApp)被用于在外部违反公司政策进行敏感业务。就在最近,摩根士丹利的高管因使用WhatsApp而被从公司撤职。

员工已经了解到,他们的IT,合规性和安全团队并不是唯一可以特别访问其通信的人。他们知道Slack,Microsoft,Google等也可以访问其数据和通信。因此,许多人转向了消费者端到端产品,因为他们不愿意在服务提供商既要监听又要负责安全的系统上进行敏感业务。

为什么消费者应用程序泛滥对企业不利

将敏感的业务带给消费品是有风险的。这些消费级平台不是专门为安全和合规的通信而构建的。他们优先考虑参与和娱乐活动,从而导致不断出现安全漏洞,例如中间人攻击和远程执行代码漏洞。多年来,WhatsApp用户在这些安全漏洞中首当其冲。

CISO只能选择对使用诸如WhatsApp之类的消费者E2EE产品的员工视而不见,或者放任和制定政策例外,他们希望这些例外可以安抚监管机构。然而,这种方法是对长期使用不合格和不安全的消费产品的认可。

端到端加密比您想象的更灵活

企业安全团队一直在错误地认为E2EE是僵化的。没有后门意味着世界上最可靠的密码学只有一种千篇一律的实现。实际上,E2EE是灵活的,可以与公司政策和行业法规一起部署。

CISO无需在遵从性和强加密之间进行选择。无论行业如何,组织都可以使用遵守法规,内部策略并与IT工作流集成的E2EE。这意味着企业使用E2EE的决定可以集中于保护数据免受对手,竞争对手和服务提供商的侵害,而不用担心会违反规则。

选择支持E2EE的通信平台

在选择支持E2EE的通信平台时,安全专业人员需要评估供应商的主张,能力和动机。虽然某些主流平台宣传E2EE,但它们仅加密从端点到服务器的流量。这称为客户端到服务器加密(C2S)。Zoom最明显发生在今年早些时候,当时他们将产品作为E2EE出售。

大多数合理的安全专家都认为这不是恶意欺骗最终用户的尝试,而是真正缺乏密码学的理解和复杂性。该公司认为,尽管C2S架构容易受到中间人攻击,但绿色锁定符号会使最终用户感觉良好。

不从事保护关键用户信息业务的提供商几乎可以肯定会声称他们不理解并提供“不吸”而不是严格的安全技术的解决方案。

拥抱E2EE的CISO将受益于数学的确定性。确保服务提供商有能力并致力于提供真正的E2EE,这一点很重要。

强大的E2EE解决方案包含三个重要支柱:

  • 加密协议和第三方安全性审查的结果都是公开的
  • 它们的服务器不存储数据。和
  • 服务提供商的业务模型不依赖于访问客户数据

这就是说,CISO的零信任安全策略应扩展到服务提供商。如果您的Unified Communications Service提供商可以访问,挖掘和分析您的数据,那么它们就是攻击面。我们知道这种访问可能导致未经授权的访问。强大的E2EE具有数学确定性,从而消除了服务提供商的风险。

符合法规要求的E2EE是一个相对较新的现象。但是,对于CISO来说,比以往任何时候都更加重要,要权衡使服务提供商能够访问其公司所有数据的风险,以及在遵守公司合规性要求的同时控制其数据所带来的无与伦比的好处。

在为企业通信提供不妥协的安全性时,E2EE是组织的必备功能,现在可以在不违反规则的情况下实现它。此外,当组织以有远见的态度部署企业E2EE时,他们可以通过为员工提供所需和应有的安全性和私密性,使最终用户脱离WhatsApp,We Chat和Telegram等危险产品。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!