Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Okategoriserad

En CISO:s guide till att säkra krypteringsmiljöer

Postat avSurabhi Dahal 17 minuter
CISO:s guide till att säkra sin krypteringsmiljö
Innehållsförteckning

I din roll som CISO är det ditt ansvar att reglera och säkerställa säkerheten i krypteringsmiljön inom din organisation. Eftersom nya hot uppstår dagligen och det mesta av vår kommunikation och våra transaktioner sker online, är det hög tid att du gör något för att skydda dina krypterade data från att äventyras och säkerställa deras konfidentialitet, integritet och tillgänglighet.

I den här bloggen ska vi titta på några viktiga tips och funktioner när det gäller att säkra krypteringsmiljöer.

Förstå krypteringslandskapet

Innan vi diskuterar strategier, låt oss bekanta oss med krypteringsområdet. kryptering, mycket enkelt uttryckt, är processen att omvandla läsbar information till något som inte kan förstås eller är kodad på ett sådant sätt att den inte kan nås av någon utan tillstånd. Det används inom olika områden för att skydda olika typer av information, inklusive:

  • E-postmeddelanden och snabbmeddelanden
  • Filer och dokument
  • Databasinnehåll
  • Nätverkstrafik
  • Lagrad data över enheter och servrar

Vid kryptering konverteras klartext och annan relaterad data till chiffertext med hjälp av en uppsättning regler som kallas algoritmer och en uppsättning värden som kallas nycklar. Medan algoritmer är matematiska beräkningar som ligger till grund för datatransformationer, är nycklar säkerhetskoder och identifieringssträngar som styr kryptering och dekryptering av meddelanden. Krypteringens styrka har stor betydelse för nyckelns längd och vilken typ av algoritm som ska användas.

Att etablera en omfattande krypteringsstrategi

För att säkerställa att organisationen har en kodad krypteringsmiljö behövs en ordentlig krypteringsplan som överensstämmer med de primära säkerhetsmålen för verksamheten. God informationshantering är avgörande för att säkerställa att all känslig information är skyddad så att den inte kan nås av personer som inte förväntas ha tillgång till den, och även eftersom det finns fastställda lagar för hur information ska hanteras.

Det är viktigt att denna strategi är balanserad och anpassningsbar i den meningen att den använder olika faktorer för att skydda data. Hantering av dessa element säkerställer att en organisation kan säkra sin information, uppfylla behoven av datakvalitet och förbättra säkerheten i organisationen. Strategin bör innehålla följande nyckelelement:

1. Krypteringspolicy

Utveckla en krypteringspolicy, utan tvetydigheter eftersom den beskriver en organisations behov av kryptering. Denna krypteringsstrategi är avsedd att erbjuda tillräckligt skydd för data och kommunikation i en organisation och säkerställa att endast behöriga personer får tillgång till känslig information.

Denna policy specificerar nödvändiga åtgärder relaterade till användningen av kryptering och garanterar att all data som överförs via kommunikationslinjer är krypterad för att förhindra att någon kontrollerar den. Denna policy bör omfatta:

  1. Godkända krypteringsalgoritmer och nyckellängder

    Organisationerna bör använda följande krypteringsalgoritmer och nyckellängder:

  2. Procedurer för nyckelhantering

    Organisationen bör följa följande rutiner för nyckelhantering:

    • Nyckelgenerering: Nycklar bör genereras mekaniskt och slumpmässigt med hjälp av nummergeneratorer.
    • Nyckeldistribution: Nycklar bör distribueras säkert via tillförlitliga metoder med hjälp av säkra kommunikationskanaler och protokoll.
    • Nyckellagring: Nycklar bör hanteras och förvaras säkert i ett säkert nyckelhanteringssystem.
    • Tangentrotation: Regelbunden rotation är bra för nycklar eftersom det hjälper till att minska risken för kompromettering.
    • Återkallelse av nyckel: Om en nyckel tappas bort, är sprucken eller inte längre är användbar, bör nyckeln omedelbart återkallas.
  3. Roller och ansvarsområden för krypteringshantering

    Följande roller och ansvarsområden bör tilldelas för krypteringshantering:

    • Krypteringsansvarig: Ansvarig för att skapa och implementera krypteringspolicy, tillhandahålla garantier för att policyn uppfyller den styrande tillsynsmyndighetens riktlinjer och hantera eventuella krypteringsnycklar.
    • Nyckelansvariga: Ansvarig för att skapa, distribuera, arkivera och uppdatera nycklar som används för att kryptera meddelanden.
    • Systemadministratörer: Denna tjänsteman ansvarar för att implementera och konfigurera krypteringsprocessen i en organisations system och nätverk.
    • Dataägare: Personen måste övervaka kartläggningen och se till att känslig information är korrekt krypterad.
  4. Efterlevnadskrav och föreskrifter

    Organisationen bör följa följande tillsynskrav och standarder:

    • Federal Information Processing Standards (FIPS): För att stärka säkerheten och skydda information som lämnas ut inom organisationen bör organisationen följa de federala standarderna för informationsbehandling (FIPSDetta inkluderar installation av kontrollerade FIPS VPN-nätverk, kryptering av lagringsenheter genom FIPS-validerade kryptografiska algoritmer och regelbunden granskning av den definierade efterlevnadsstatusen i förhållande till FIPS-standarderna.
    • HIPAA: Organisationen bör säkerställa att den följer lagarna i Health Insurance Portability and Accountability Act (HIPAA) med avseende på skyddet av skyddad hälsoinformation (PHI).
    • PCI-DSS: Administratören bör säkerställa att organisationen har följt betalkortsbranschens datasäkerhetsstandard (PCI DSS) för att förhindra förlust av kreditkortsuppgifter.
    • BRP: För att skydda vissa individers integritet bör organisationen säkerställa att den följer den allmänna dataskyddsförordningen (GDPR).
    • NIST: Organisationen bör följa National Institute of Standards and Technology (NIST) riktlinjer för användning av kryptering i federala informationssystem.
    • Andra relevanta föreskrifter: Organisationen kommer att följa andra relevanta föreskrifter och standarder i den utsträckning de gäller för organisationens specifika aktiviteter och datahanteringspraxis.

2. Riskbedömning

Det avgörande och primära steget som måste tas innan krypteringsmiljön faktiskt driftsätts är att bedöma riskerna och sårbarheterna. Viktiga frågor för denna bedömning bör inkludera följande för att bedöma krypteringsplanens effektivitet.

  1. Typer av data som krypteras
    • Personligt identifierbar information (PII): All information som kan leda till någon är känd som personlig om en individ; dessa kan inkludera namn, adresser, personnummer eller finansiell information.
    • Skyddad hälsoinformation (PHI): Information som inhämtats från en patient eller mottagits av en patient om en individuell hälsostatus, inklusive tillhandahållande, betalning eller ersättning för vård.
    • Immaterialrätt: Känsliga företagsuppgifter; affärshemligheter; personliga angelägenheter; och begränsad information om affärsangelägenheter.
    • Finansiella data: Konton, transaktioner, balansräkningar, utdrag, reskontra, viktiga register och annan mycket värdefull affärsdokumentation.
  2. Platser där data lagras och överförs
    • Anpassade lokala servrar och lagringsenheter
    • Molnbaserade utrymmen för lagring och beräkning
    • Mobila enheter och bärbara datorer
    • Nätverksinfrastruktur, såsom routrar och switchar
    • Kommunikationskanaler, såsom e-post och snabbmeddelanden
  3. Potentiella attackvektorer
    • Obehörig åtkomst: Hackningsförsök som utförs i syfte att försöka bryta sig förbi en säkerhetsbehandling som skyddar information från åtkomst av personer som den inte är avsedd för.
    • Insiderhot: Denna risk innebär att behöriga användare som har tillgång till krypterad information utför otillbörliga handlingar.
    • Sårbarheter i krypteringsalgoritmer eller implementeringar: Sårbarheter som kan uppstå om de krypteringsalgoritmer som används är bristfälliga eller om sättet de används av systemet kan manipuleras av inkräktare.
    • Fysiska säkerhetsintrång: Stöld eller sabotage av hårdvarusystem som innehåller krypterad information eller strukturer och obehörig fysisk åtkomst till lagringsenheter.
  4. Krav på överensstämmelse
    • Tillsynskrav: Rättsliga och regulatoriska krav som främjar kryptering, till exempel Health Insurance Portability and Accessibility Act (HIPAA), Payment Card Industry Data Security Standard (PCI-DSS) och General Data Protection Regulation (GDPR).
    • Branschstandarder: Riktlinjer riktade mot bästa praxis för kryptering som krävs av NIST och FIPS.
    • Avtalsförpliktelser: Känslig information som delas med kunder, partners eller leverantörer genom avtal som innehåller krypteringskrav.

3. Krypteringsstandarder och algoritmer

Välj krypteringsstandarder och algoritmer som är allmänt accepterade och rekommenderade av branschexperter och tillsynsmyndigheter. Några vanliga standarder inkluderar:

  • AES (Advanced Encryption Standard): En symmetrisk nyckelalgoritm som används flitigt för hastighet och säkerhet.
  • RSA (Rivest-Shamir-Adleman): En asymmetrisk nyckelalgoritm som vanligtvis används för säker kommunikation och digitala signaturer.
  • ECC (Elliptic Curve Cryptography): En asymmetrisk nyckelalgoritm som erbjuder stark säkerhet med mindre nyckelstorlekar än RSA.
  • TLS (Transportlagersäkerhet): En symmetrisk nyckelalgoritm som en gång användes flitigt men nu anses vara osäker på grund av sin lilla nyckelstorlek.

4. Nyckelhantering

Nyckelhantering Procedurer är några av de viktigaste aspekterna som behöver implementeras när frågan om att säkra krypterad data är nödvändig. Nyckelhantering avser den process genom vilken nycklar skapas, distribueras, hanteras och, vid behov, återkallas eller kasseras.

Det är därför viktigt att ha rätt verktyg för hanteringen av dessa krypteringsnycklar för att undvika missöden som dataläckage och bristande efterlevnad av fastställda regelverk samt personal- och andra externa risker.

  1. Säker nyckelförvaring
    • Förvaring av nycklar i särskilda säkra smartkort, t.ex. hårdvarusäkerhetsmodul eller nyckelvalv
    • Säkerställa bättre åtkomstkontroller och använda auktoriseringsmetoder i sina nyckelhanteringssystem
    • Kontinuerlig inspektion och analys av de viktigaste ledningssystemen för bedrägerier och oegentligheter
    • När en nyckel lagras måste den lagras i krypterad form, samtidigt som krypteringsnyckeln förblir säker.
  2. Regelbunden nyckelrotation
    • Krypteringsnycklarna bör bytas regelbundet så att det finns få data att komma åt om hackare tränger sig in i systemet.
    • Minska mänskliga fel genom kontinuerlig automatisering av nyckelhanteringsprocesser så att de alltid är rutinmässiga.
    • Bevara en förteckning över nycklar som tidigare använts för beräkningsändamål, säkerhetskopiering av data och/eller för att uppfylla lagstadgade behov
  3. Rutiner för säkerhetskopiering och återställning
    • Upprätta och följa säkra åtgärder för lagring och säkerhetskopiering av krypteringsnycklar, såsom att lagra krypteringsnycklarna utanför anläggningen eller skapa flera kopior av nycklarna.
    • Utför regelbundna säkerhetskopior och återställningar för att säkerställa säkerhetskopiornas effektivitet.
    • Detaljerad dokumentation av säkerhetskopierings- och återställningsprocedurer för att säkerställa att den är lättillgänglig och uppfyller de lagstadgade kraven.
  4. Åtkomstkontroller för nyckelhanteringssystem
    • Införliva åtkomstkontrollåtgärder som endast tillåter vissa auktoriserade roller och uppgifter att utföra nyckelfunktioner.
    • Att endast bevilja åtkomst till nyckelhanteringssystem till personer som har klarat rigorösa autentiseringskontroller som tvåfaktorsautentisering.
    • Regelbundet granska och revidera åtkomstkontrollerna för att garantera att de fortfarande är relevanta och tillräckliga med tanke på de nyligen glömda kraven och riskerna.
    • Granskning och säkerställande av efterlevnad av de implementerade nyckelhanteringssystemen genom att registrera och spåra all åtkomst och användning.

5. Övervakning och revision

Områdena övervakning och granskning är också avgörande för den övergripande krypteringsstrategin. Dessa processer hjälper till att upprätthålla policyer och proaktivt bedöma sannolikheten för att ett säkerhetshot ska utföras samt ge insikt i krypteringsdomänen.

  1. Regelbundna sårbarhetsbedömningar
    • Att säkerställa att regelbunden sårbarhetsbedömningar utförs för att varna användare om möjliga sårbarheter i krypteringsalgoritmer, implementeringar och konfigurationer.
    • Bedöma specifika sårbarhetsbedömningar för att planera en handlingsplan för de berörda sårbarheterna.
    • Identifiera och därefter införa en effektiv mekanism för att motverka de listade sårbarheterna.
  2. Övervakning av användning av krypteringsnycklar
    • Spåra användningsgraden av nycklar och utvärdera om det finns något ovanligt eller som ser misstänkt ut.
    • Övervaka statistik över nyckelanvändning för att bidra till att upprätthålla standarder som fastställts i policyer och rutiner för nyckelhantering.
    • Anställa eller tilldela personal för varning och avisering i händelse av eventuella problem eller säkerhetshotande incidenter.
  3. Loggning och varningar för misstänkta aktiviteter
    • Införliva loggningsåtgärder för att övervaka användning, åtkomst och andra aktiviteter relaterade till krypteringsnyckeln.
    • Identifiera och upprätta tydliga anmälningsmetoder som varnar den högsta ledningen för eventuella problem eller hot.
    • Använda loggar för mönstermatchning och detektering av eventuella överträdelser innan de inträffar.
  4. Regelefterlevnadsrevisioner och rapportering
    • Genomföra regelbundna efterlevnadskontroller för att validera den krypterade miljöns tillstånd i förhållande till standarder och efterlevnad.
    • Utveckla omfattande rapporter om resultat och rekommendationer baserade på efterlevnadsrevisioner.
    • Övervaka problemområden och ha ett system för hantering av efterlevnad på plats för att säkerställa att alla komplikationer med efterlevnad hanteras på lämpligt sätt.

Skräddarsydda krypteringstjänster

Vi utvärderar, strategiserar och implementerar krypteringsstrategier och lösningar.

Läs mer

Implementering av bästa praxis för kryptering

För att lyckas skydda din krypteringsmiljö är det viktigt att du genomför några korrekt godkända åtgärder i olika faser av krypteringscykeln. Här är några viktiga bästa praxis att överväga:

  1. Säker nyckelgenerering

    I detta fall rekommenderas att nycklarna som används vid kryptering erhålls genom säkra slumptal och att dessa förvaras säkert. ANVÄND INTE en mycket svag eller mycket uppenbar nyckel som vem som helst kan lista ut eller dechiffrera.

  2. Säker nyckeldistribution

    Använd säkra procedurer för att sprida krypteringsnycklar till alla tillåtna noder och användaruppgifter. Detta kan göras genom att använda avancerade nyckelutbytestekniker eller genom att involvera en betrodd tredje part för att distribuera nycklar.

  3. Säker nyckelförvaring

    Datakrypteringsnycklar måste också säkras, och detta görs genom att förvara nycklarna i en hårdvarusäkerhetsmodul eller ett säkert nyckelhanteringssystem. Här är några förslag som kan implementeras för att säkerställa att åtkomst till nycklar begränsas till personal som har sådana privilegier och att nycklar bör bytas regelbundet.

  4. Regelbunden nyckelrotation

    Nyckeln måste därför roteras så ofta som det bedöms rimligt, särskilt med hänsyn till typen av data som krypteras samt sannolikheten för nyckelexponering.

  5. Implementering av säker kryptering

    Se till att kryptering sker på rätt sätt i hela organisationen. Detta inkluderar:

    • Använda de senaste versionerna av krypteringsalgoritmer och protokoll
    • Korrekt konfigurering av krypteringsinställningar
    • Regelbunden uppdatering av krypteringsprogram och bibliotek
    • Implementera säkra kodningsrutiner för att förhindra sårbarheter i krypteringsimplementeringar
  6. Säker säkerhetskopiering och återställning av krypteringsnycklar

    Förstå hur krypteringsnycklar bör säkerhetskopieras och återställas för att återställa data och undvika utmaningar som kan uppstå när en nyckel förloras eller ett systemfel uppstår. Se också till att det finns säkra platser för säkerhetskopieringsnycklar och att de återställningsprocedurer som finns på plats bör kontrolleras regelbundet.

  7. Återkallelse av säker krypteringsnyckel

    Säkra metoder för att ta bort en krypteringsnyckel måste införas när en nyckel bryts eller en anställd sägs upp som en säkerhetsåtgärd. Om återkallade nycklar har utfärdats, se till att nycklarna omedelbart raderas från alla enheter och att informationen som krypterats med den återkallade nyckeln krypteras över med en ny nyckel.

Att hantera nya krypteringsutmaningar

I takt med att tekniken utvecklas uppstår även nya utmaningar och hot, och det är dessa som IT-chefer behöver ta itu med. Modernisering och utveckling av teknik samt ökade cybersäkerhetsrisker kräver en evolutionär metod mot en utformad krypteringspolicy. För att hantera riskerna på bästa möjliga sätt måste IT-chefer informeras om de aktuella framstegen inom krypteringsteknik och -strategier.

Detta kräver att man identifierar risker som följer med nya krypteringsalgoritmer, hanterar de utmaningar som uppstår på grund av nyckelhantering och uppfyller nya regelverk. Det finns också nya tekniktrender som kräver nya typer av kryptering; SSL / TLS räcker inte, till exempel kvantberäkning, mer användning av molnteknik och populariteten av Internet of Things (IoT) -enheterNågra viktiga utmaningar inkluderar:

  1. Postkvantkryptering

    Nuvarande krypteringsalgoritmer kan vara sårbara för attacker från den nya generationen datorer, det vill säga kvantdatorer, eftersom de förra lätt kan knäckas av de senare, mycket mer än vad klassiska datorer kan erbjuda.

    Detta beror på att kvantdatorer kan använda kvantalgoritmer som Shors algoritm, vilka enkelt kan lösa talteoriproblem, såsom heltalsfaktorisering, vilket gör säkerhetsalgoritmer som används idag, såsom RSA och ECC, mottagliga för kvantattacker. För att motverka detta hot bör CISO:er se till att de får regelbundna uppdateringar om postkvantkryptografi och införliva kvantresistent kryptografi när den blir tillgänglig.

    PCC är avgörande för att garantera skyddet av digital kommunikation och känsliga data i framtiden efter att kvantdatorer finns. PQC:s huvudsakliga fokus är att identifiera och implementera kryptografiska algoritmer som inte lätt kan knäckas av vare sig klassiska eller kvantdatorer.

    Rekommendationerna inkluderar således att skapa en inventering av kryptografiska ekosystem, utföra en intern riskanalys, utveckla arbetsrelationer med teknikleverantörer och standardisera befintliga kryptografiska ekosystem före den globala övergången till postkvantkryptografi.

  2. Krypteringstrafikattacker

    Cyberbrottslingar använder nu kryptering för att maskera sina aktiviteter och undvika att bli upptäckta av säkerhetslösningar. Detta beror på att många krypteringsalgoritmer, inklusive SSL/TLS, är standardiserade med det specifika syftet att skydda innehållet i data som överförs.

    Men ofta innebär detta också att dessa protokoll själva kan manipuleras av angriparna och dölja deras handlingar, eftersom det kommer att vara utmanande för säkerhetsspecialister att upptäcka sådana handlingar. Som svar på detta hot bör IT-chefer också överväga metoder för att utföra trafikinspektion och övervakning av krypterad SSL/TLS-kommunikation.

  3. Insiderhot

    En anställd med tillgång till krypteringsnycklar och system skapar många potentiella säkerhetsrisker mot krypterad information. Detta beror på att insiders har tillgång till dessa system och kan utnyttja säkerheten genom att bli inblandade i deras manipulation.

    För att motverka detta hot bör IT-chefer övervaka och reglera åtkomsten till krypteringssystem och genomföra regelbundna användargranskningar. Detta innebär också att man implementerar policyer som rollbaserad åtkomstkontroll (RBAC) och flerfaktorautentisering (MFA) för att säkerställa att endast behörig personal får åtkomst till krypteringssystemen.

  4. Krav på överensstämmelse

    Det finns ett flertal standarder som åläggs många företag att följa användningen av kryptering för att säkerställa att endast behöriga personer får tillgång till viss information.

    Till exempel föreskriver Health Insurance Portability and Accountability Act (HIPAA) att integriteten och säkerheten för skyddad hälsoinformation (PHI) ska skyddas genom användning av kryptering, medan Payment Card Industry Data Security Standard (PCI DSS) specificerar att handlarnas data på kreditkort ska krypteras.

    GDPR har också fastställt integritets- och säkerhetskrav för personuppgifter där användning av kryptering och dataskyddsåtgärder är obligatorisk för organisationer som hanterar personuppgifter. ITSO:er bör vara medvetna om tillförlitliga överensstämmelsesstandarder och se till att deras krypteringsmiljö överensstämmer med dessa standarder.

Slutsats

Att säkra organisationens krypteringsmiljö är ett avgörande ansvar för IT-chefer. Genom att utveckla en heltäckande krypteringsstrategiGenom att implementera bästa praxis och hantera nya utmaningar kan IT-chefer effektivt skydda sin organisations krypterade data från cyberhot. Kom ihåg att kryptering bara är en del av ett robust cybersäkerhetsprogram, och IT-chefer bör arbeta nära andra säkerhetsexperter för att säkerställa den övergripande säkerheten för organisationens system och data.

Krypteringskonsulting erbjuder specialiserade tjänster skräddarsydda för att identifiera sårbarheter och minska risker genom att tillhandahålla KrypteringsrådgivningstjänsterVi använder kryptering för att säkerställa kontinuerligt dataskydd, och arbetar under antagandet att andra traditionella säkerhetsåtgärder kan misslyckas.

Som leverantör av krypteringsrådgivning kan vi avsevärt öka svårigheten, tiden och kostnaden för angripare att kompromettera dina data. Våra krypteringsrådgivningstjänster syftar till att minska de ekonomiska riskerna i samband med intrång och minska deras totala inverkan.

Utforska

Fler ämnen