加密技术的使用正在增长,尽管十分缓慢
Thales e-Security委任实施的一项研究显示,组织中加密技术的使用正在增长。10年之前,仅有15%的组织在企业范围内使用加密技术。现在,已有36%的组织采用了类似的战略。
根据 ZDNet的一篇文章,该研究中也发现了其他有趣的调查结果:
使用加密技术最多的行业是:
1. 金融行业
2. 医疗保健行业
3. 医药行业
最可能被加密的数据类型是:
1. 员工和人力资源数据
2. 金融记录
3. 知识产权
只有三分之一的加密数据属于消费者数据。
促使机构使用加密技术的主要推动力是规章条例。这相对于“保护数据,使其免受特定威胁”来说,更像一个理由。这一事实表明,管理起到了很重要的作用,因为比起保护自身应对风险,某些组织更愿意为了遵循规定而采用加密技术。而颇具讽刺意义的是,不遵循规定所造成的损失要远远低于网络漏洞所造成的损失。
但是剩余的那些,不使用加密技术的64%企业是什么情况呢?他们为什么不使用这一技术呢?
这一研究将敏感信息定位列为最大的挑战。另一个挑战是确认需要侦测的数据类型。加密密钥的存储和管理也被认为是主要挑战之一。
一.报告概要
波耐蒙研究所很高兴的向您介绍《2015年全球加密技术与密钥管理趋势研究》报告中的发现。这一报告是由Thales e-Security公司赞助。我们对10个国家多个行业领域中的4714个公司进行了研究。这10个国家分别是美国,英国,德国,法国,澳大利亚,日本,巴西,俄罗斯,以及第一次出现的墨西哥和印度。此次调查旨在研究,在过去的10年中加密技术使用是如何演变的,以及这一技术对组织安全态势产生的影响。加密技术趋势研究在2005年第一次进行,研究对象为美国的公司和组织。自此之后,我们扩大了研究范围,将世界上的其他地区都囊括到研究范围内。
在我们的研究中,我们主要探讨了组织所面临的威胁,以及加密技术是如何被用来降低风险的。大型数据泄露事件和网络攻击事件增强了公司改善自身安全态势的紧迫感。这在今年的研究发现中也有所体现,越来越多的公司采用了面向整个企业的加密战略,这在医疗保健和零售业中尤其明显。然而,在密钥和证书管理方面,他们仍在苦苦奋斗。
更多细节在下一部分的关键发现中均进行了详细描述。我们相信,这些发现都十分重要,因为它们彰显了加密技术与强大安全态势之间的关联。
以下是这一研究中的关键看点:
●更多的公司开始采用加密策略,并持续一致的在整个企业中应用。
●业务单位在选择和使用加密技术上持续获得影响力。
●与其他行业相比,医疗保健业和零售业的公司加密技术使用率增幅更大。
●在数据加密策略的规划和执行中,最大的挑战是发现组织中的敏感数据位置。
● 对于云和本地部署的支持是加密技术解决方案的重要特征之一。
●密钥和证书的管理是非常困难的,因为没有任何所有权和系统是可以完全独立,各自为政的。
二.关键发现
图表3显示了用于定义公司加密战略的最具影响力的功能区域。图表显示,在确定组织的企业加密战略方面,IT运营被认为是最具影响力的因素。在这个研究中,“业务线”被定义为那些组织内部具有商业或者行政责任的业务。
图表3. 决定公司加密战略的最具影响力因素
威胁,主要推动力和优先事宜
图表9显示,敏感和机密数据的泄露所面临的最重要威胁是员工错误,系统进程故障和黑客。与之相反的是,敏感和机密数据的泄露所面临的威胁重要性排名最末的包括,第三方服务供应商与合法数据要求。研究显示,关于不经意的数据泄露(员工错误和系统故障)的担忧远远超出了关于黑客和恶意内部员工所造成的实际攻击的担忧。
图9. 敏感数据和机密数据的最显著威胁
64%的受访对象认为遵守隐私和数据安全要求是使用加密技术的主要推动力。图10中列出了加密技术使用的六个主要推动力。受访对象表示遵守规章条例和保护组织免受特定的威胁是使用加密技术的两大首要因素。排在末位的推动因素包括避免数据泄露和内部政策的遵守。
图表10. 加密技术解决方案使用的主要推动因素
受访者认为,在数据丢失和窃取事件发生之时,加密技术降低了组织通知个人用户的义务。图11显示了受访者对“在涉及用户个人数据丢失或窃取的数据泄露事件发生之后,你的组织需要对消费者进行通知吗?”这一问题的回答结果。
这一问题设立了两个不同的条件:(1)遭泄露数据是已加密数据;(2)所泄露数据是未加密数据。从图中我们可以看出,受访者认为数据加密降低了通知泄露事件受害者的要求。在未加密数据丢失的案例情况下,通知的平均响应率在2014年和2013年分被为22%和18%。
图表11. 在消费者个人数据泄露事件之后是否需要对消费者进行通知?
发现组织中敏感数据的驻留位置是最大的挑战。图12根据重要性递减的顺序,列出了对当前组织有效实施数据加密战略提出挑战的六个主要方面。56%的受访者表示,发现组织中敏感数据的驻留位置是首要的挑战。此外,有48%的受访者认为加密技术的部署也属于一重大挑战。
图表12 数据加密战略规划和实施中所面临的最大挑战
部署选择和决策标准
我们就“特定加密技术在企业中属于广泛部署还是部分部署”这一问题对受访者进行了提问。“广泛部署”意味着加密技术在整个企业内部使用。“部分部署”意味着加密技术只用于或局限于某个特定的目的(也就是单点解决方案)。
图13显示,没有任何单一加密技术占据主导地位,因为企业有着多样化的部署。企业应用程序,数据库,电子邮件和数据中心存储是加密技术部署最多的地方。相反,大数据库,公共云服务和隐私云基础设施是进行加密部署最少的地方。
图表13. 加密技术使用的整合看法
最重要的加密特性
图16列出了12个加密技术特性。每一个百分比都代表了非常重要的回应。受访者被要求评估出他们认为对企业安全态势最重要的加密技术特性。根据整合后的信息我们发现,支持云技术和本地部署,系统性能与延迟,以及与其他安全工具的融合三个最重要的特性。
图表16. 加密技术解决方案最重要的特性
(可多选)加密数据类型。图17提供了7种受访组织最常进行加密的数据类型。我们从中可以看出,人力资源数据是最有可能进行加密的数据,而与健康相关的数据是最少进行加密的数据。鉴于健康信息的敏感度和近期大型高调的医疗保健数据泄露事件,这一结果是十分令人震惊的。
图表17. 常规加密的数据类型
(可多选)
对记号化的认知。图18显示了受访者如何看待记号化和加密技术的使用。40%的人认为加密技术与记号化在大多数情况下是可以互相替代的。只有8%的受访者认为记号化和加密技术的使用是互不相关的——两者分别有着自己特定的使用领域。
图表18. 你如何比较组织中记号化和加密技术的使用?
根据图22,最难进行管理的密钥类型包括:(1)安全外壳协议SSH密钥;(2)外部服务密钥;(3)第三方服务系统的密钥。管理难度最低的密钥包括:(1)嵌入式设备密钥和证书;(2)存储数据的加密密钥;(3)网络加密密钥。
图表22. 最难以管理的密钥类型
(可以多选)
如图23所示,受访者公司所使用的密钥管理系统十分广泛。最常见的部署系统包括手动处理,外部证书认证,可移动媒体和中央密钥管理系统/服务器。
图表23. 你的组织当前所使用的密钥管理系统是什么?
图26总结了HSMs(分层存储管理)部署的主要原因和使用案例。我们从图中可以看出,位居第一位的原因是SSL和数据库加密的认证。图表同样显示了当前与未来12个月内HSM使用的差异。根据受访者的观点,在接下来的12个月内可预见的最显著的增长是代码签名,文件签署以及支付处理。
图表26. 在未来12个月内,HSMs会如何部署或如何计划部署?
预算分配
下列图中的百分比是根据受访者对“IT安全,数据保护,加密技术和密钥管理的资源分配”这一问题的回答进行计算而得出的。这些计算仅针对当前情况,其价值只在当前体现,并且我们不会对未来的预算资金和支出情况做出任何预测。
图26显示了在过去10年中,IT安全支出占IT总支出的平均百分比。我们可以看出,IT安全支出呈倾斜上升趋势。这表明随着时间的增长,IT支出中用于安全活动(包括加密技术)预算比例在逐步增加。
图表26. IT总预算中IT安全支出所占百分比的趋势走向
数据保护预算分配。图27显示了在过去九年中,数据保护支出在IT安全总预算中所占的百分比。图中的曲线呈倾斜增长的趋势,表明数据保护支出在IT安全总支出中的所占比例在增加。
加密技术的预算分配。图28显示了在过去的九年中,加密技术支出在IT安全总预算中所占比例的趋势变化。同样的,图表中呈现上升趋势,由2005年的9.7%上升至2013年的18.2%。但是,值得注意的是,在今年的研究中,这一比例降至了15.7%。
|