駭客攻擊一直是資安管理最令人關注的話題,企業投資大筆資金做許多防護,阻擋各式攻擊,然企業最重要的金鑰,卻成駭客下手「最佳捷徑」。Entrust大中華區資深方案顧問王清鑑於
資安人舉辦的「2021亞太資安論壇暨展會」演講時指出,金鑰控制所有機密資料的安全,如何安全存放不被找到,同時定期更新,攸關整體資安成敗。
擁有多年資安經驗的王清鑑指出,擁有5000多年歷史的人類自古以來,多以建造城牆抵禦外敵,保護自己有形的「實體資產」,直至近70年,人類才擁有無形的「數位資產」。
然而,數位資產卻不斷被駭客攻擊。王清鑑說,報告顯示,企業花費87%的資安預算在外圍防堵,但分析全球許多知名企業遭遇的機密資料外洩資安事件,卻顯示駭客都可跨過安全機制的偵測防護入侵攻擊。
也因此,最後一關的金鑰保護便成關鍵。他說,企業機密資料通常會加密,但駭客不會去破解加密機制,而是想辦法找到金鑰,用暴力方式破解密碼。近年來許多數位貨幣遭駭等事件,都是金鑰被盜,不論是是用戶端的錢包或交易所的金鑰,都可能被破解。
相關新聞: Entrust宣布收購HyTrust 進一步拓展虛擬與多雲端環境下的加密、密鑰管理與安全狀態管理服務
王清鑑指出,金鑰加密技術用途廣泛,包括企業檔案、電子簽章、數位憑證、IoT裝置認證、區塊鏈、電子支付、SSL和PKI等都用得到,除需適當存放外,金鑰還要定期更換。
他說,有些資訊人員將金鑰存在「很深的目錄中」,但有經驗的駭客只需利用硬碟追蹤紀錄,都能一眼看出金鑰所在。
有些企業更是從未更換過金鑰,甚至工程師身上也存有金鑰,這一來,金鑰管控有漏洞,安全堪憂。
目前市面上有保護金鑰相關服務,利用軟體生產金鑰,整合企業各部門的金鑰,最重要是確保金鑰加密後呈現的亂數,是真正讓駭客無法破解的高品質亂數。
資安新思維系列報導(一) :「雲」&「端」的資安痛點:邊界模糊,警訊過多,人手不足
資安新思維系列報導(二) : 第六期國家資通安全法:佈建「主動防禦」聯網,躍升亞太資安樞紐