Gemeenschap
© 2025 Avance Network
AboutDirectoryContact UsDevelopersPrivacy PolicyTerms of UseTerugbetaling
Science and Technology

O que fazer e o que não fazer quando for criptografar seus dados

User Image
983 Uitzichten

E apenas criptografar parece uma maneira simples de proteger os dados, especialmente em laptops. Ele protege os dados, mas não é necessariamente tão simples.

Economize tempo (e talvez seus dados!) Com essas práticas de criptografia de disco completo.

 

Os sistemas de criptografia de disco completo (FDE) usam algoritmos de criptografia robustos para proteger automaticamente todos os dados armazenados nos discos rígidos de PCs e laptops. Os usuários podem acessar os dados por meio de um dispositivo de autenticação , como uma senha, token ou cartão inteligente. Isso permite que o sistema recupere a chave que descriptografa o disco. Em muitos sistemas, funções como gerenciamento de chaves, controle de acesso, bloqueios, relatórios e recuperação são gerenciados centralmente.

 

As principais diferenças entre os produtos disponíveis derivam de suas diversas abordagens de gerenciamento, força de criptografia, autenticação de usuário, gerenciamento de políticas e recursos de valor agregado, como proteção de informações em mídia removível.

 

Aqui, veremos duas considerações principais na seleção de soluções de criptografia, bem como o que fazer e o que não fazer sugeridos por veteranos da implementação de criptografia.

 

Considerações Primeiras

 

Criptografia de disco completo versus sistema de criptografia de arquivo ou pasta. Com o FDE, os dados são criptografados automaticamente quando são armazenados no disco rígido. Isso é diferente dos sistemas de criptografia de arquivos ou pastas, nos quais cabe ao usuário decidir quais dados precisam ser criptografados. A maior vantagem do FDE é que não há espaço para erros se os usuários não obedecem ou não entendem as políticas de criptografia.

 

A deficiência do FDE, é que ele não protege os dados em trânsito, como informações compartilhadas entre dispositivos, armazenadas em um disco rígido portátil ou USB, ou enviadas por e-mail. O FES, é ideal para isso, embora exija muita atenção para desenvolver uma política para o que é criptografado e o que não é, bem como para treinar os usuários sobre a política. O FES também usa mais computação do que o FDE, levando a resultados de desempenho do PC de 15% a 20%, contra apenas 3% ou 4%.

 

Criptografia de hardware vs software.

 

A criptografia baseada em hardware promete melhorias significativas de desempenho em relação às tecnologias baseadas em software, e o novo padrão aberto Trusted Computing Group (TCG) oferece uma especificação de gerenciamento comum para fabricantes de discos rígidos.

 

No entanto, há uma falta de produtos do mundo real usando o padrão, diz ele. A criptografia de hardware continuará a evoluir, diz ele, e escolhas futuras aparecerão em outros subsistemas de dispositivos, como CPUs ou chipsets de suporte.

 

Leia Também: Master-Bit. Criando chaves de criptografia extremamente forte para proteger seus dados

 

Os discos rígidos com autocriptografia de hoje - como os da Seagate Technologies - são voltados principalmente para os consumidores. Isso porque, sem o TCG, eles ainda não têm um desempenho melhor do que a criptografia baseada em software e a maioria não pode ser gerenciada centralmente. Uma exceção, é uma parceria entre Dell, Seagate e McAfee para fornecer laptops com discos rígidos criptografados e ferramentas de gerenciamento de nível empresarial. A Wave Systems também vende software de gerenciamento de chaves para discos Seagate.

 

O que fazer e o que não fazer na criptografia

 

PREPARE a máquina. O maior erro que as pessoas cometem ao instalar a criptografia é não garantir que a máquina esteja limpa e funcionando corretamente de antemão. “Se houver um problema de disco”, “partes do código específicas para o mecanismo de criptografia não serão legíveis”. Sugerimos desfragmentar o disco rígido, executar Checkdisk várias vezes, fazer backup dos dados, administrar todos os patches e otimizar o desempenho antes de criptografar. Embora o impacto no desempenho da criptografia seja de apenas 1% a 3%, por que não tornar a máquina mais rápida para minimizar isso ou, pelo menos, empatar?

 

No condado de Los Angeles, que usa Pointsec, agora da Check Point Software Technologies, a equipe do CISO Robert Pittman conduziu uma verificação de saúde nos discos rígidos dos laptops do condado para ver quanto espaço livre existia, quão fragmentado estava e o nível de manutenção de o sistema operacional. Sua equipe identificou cerca de 20 do total de 12.500 laptops que precisariam ser substituídos antes de criptografá-los.

 

Frank Ward, consultor do estado de Connecticut, também executou software de avaliação de drives nos laptops do estado durante a fase piloto de implementação do software de criptografia da McAfee. Cerca de 15 por cento dos discos rígidos falharam, diz ele. Ao verificar todos os discos, a taxa de falha para instalar o McAfee nas 5.000 máquinas do estado foi de apenas 3 por cento.

 

NÃO pule muito rapidamente. Também é essencial ter um roteiro claro para a implantação. Algumas organizações usam um sistema de entrega de software centralizado. Por exemplo, Patterson usou o LANdesk da LANdesk Software para fazer uma implantação em massa do Utimaco. No entanto, ele planeja ativar o software em uma máquina por vez, adotando o que chama de uma abordagem "lenta e lenta". Ele não apenas precisa remover o software de criptografia instalado anteriormente, mas também deseja uma maneira gerenciável de lidar com quaisquer problemas que possam surgir. "Não quero aparecer na segunda-feira e [ver se] todas as máquinas têm tela azul", diz ele. “A Utimaco é boa para se recuperar de erros, mas há situações em que a unidade está no limite e girá-la por três horas vai derrubá-la. Se formos rápido demais, nós

 

A maioria dos softwares de criptografia permite que você envie para as máquinas dos usuários por meio de um sistema de entrega de software centralizado. Por exemplo, a McAfee permite que você use seu ePolicy Orchestrator para implantação. No entanto, nem sempre isso é possível, como foi o caso em Connecticut. No ambiente distribuído do estado, Ward descobriu que os mecanismos de implantação centralizados não eram onipresentes o suficiente. Ele ainda precisava trabalhar rápido, devido à estratégia do Estado de implantação acelerada.

 

Para isso, o estado criou cinco equipes de três pessoas para instalar o McAfee (durante um período de seis semanas) nos laptops de 55 agências e 950 carros dos policiais estaduais. As equipes consistiam em administradores previamente treinados, recursos da McAfee e um profissional de TI. “Avisaríamos a agência com uma semana de antecedência para reunir suas máquinas logisticamente e, em seguida, tentar fazer o máximo possível em um dia”, diz Ward. Sua equipe instalava-se em uma sala de conferências ou outro local central, conectava cerca de 20 máquinas a um servidor de arquivos para baixar o software e, em seguida, colocava-as offline para terminar a criptografia, o que poderia levar duas horas para um drive de 100G. “Era muito mais uma linha de produção”, diz Ward. A agência continuou trabalhando em qualquer um que não fosse concluído,

 

Não subestime o tempo de implantação.

 

A instalação leva tempo, especialmente para grandes drives. Uma boa regra prática é que o software leva de duas a quatro horas para criptografar a unidade, dependendo de seu tamanho.

 

Por isso, é importante escolher um sistema que seja fácil de aprender para administradores e para um fornecedor ou revendedor que ofereça treinamento personalizado. Quando Pittman escolheu o Checkpoint, ele tinha cerca de 100 pessoas treinadas - duas ou três de cada uma das 38 agências de LA - para criptografar 12.500 máquinas. Ajudou, diz Pittman, a criar uma configuração padronizada a ser implementada. Ao todo, levou cerca de nove meses, embora 80% das agências tenham sido concluídas em seis meses.

 

Considere a instalação em segundo plano. Para manter a implantação com o menor impacto possível, considere um sistema que permite que os usuários continuem trabalhando durante a instalação, diz Girard. Melhor ainda, certifique-se de não precisar reiniciar o processo se ele for interrompido.

 

Não espere aceitação total do usuário. Os usuários podem desconfiar de segurança adicional, vendo-a como um obstáculo irritante que prejudica o desempenho da tecnologia. Uma maneira de evitar a oposição potencial é comunicar totalmente o quê, por que, como e quando da implantação antes da implementação e enfatizar que o desempenho será afetado minimamente, não mais do que 5 por cento

 

Verifique se há interferência com outros aplicativos. Outro motivo para um teste piloto é que pode haver interferência de driver de dispositivo ou BIOS entre o software de criptografia e outros aplicativos. Você deve executá-lo em sua imagem padrão, bem como em coisas potenciais que você instalará na próxima vez

 

Podem surgir conflitos entre a criptografia e alguns sistemas de gerenciamento de desktop que já têm entradas no setor de boot do disco, acrescenta. Você não pode ter duas coisas no setor de boot, a menos que sejam feitas para funcionarem juntas, o que alguns fornecedores estão fazendo, como GuardianEdge e Symantec. Encontramos problemas em quase todas as empresas, então o melhor conselho é testá-los.

 

Considere suas opções de autenticação. Os fornecedores oferecem diferentes mecanismos de autenticação de usuário, incluindo PINs, senhas , cartões inteligentes e tokens, mas o mais popular é a opção de senha. Embora possa parecer mais seguro desafiar os usuários com duas senhas separadas - uma na pré-inicialização e outra para entrar no domínio da rede - muitas organizações escolhem a opção de logon único.

 

Considere um conjunto integrado. Quando Patterson começou a procurar um sistema de criptografia, sua busca foi dupla, já que o contrato de software antivírus de Raymond James também estava terminando e ele queria tentar um firewall de endpoint diferente do que era oferecido pelo Windows. Isso o levou a procurar produtos nos quais essas funções pudessem ser gerenciadas por meio de um único console. “Caso contrário, precisaríamos de uma frota de pessoas para operar esses sistemas e nenhuma imagem única do que está acontecendo na rede

 

Com a Utimaco, a Sophos criou um roteiro para integrar a criptografia a um pacote de segurança mais amplo, diz Patterson. A McAfee também oferece gerenciamento integrado de criptografia com outras funções de segurança de endpoint.

 

Essa integração ajudará a facilitar a implantação dessas várias funções de segurança. “Se dissermos aos usuários que vamos colocar outro agente em suas máquinas, teremos que passar por muitos obstáculos para garantir que o desempenho não diminua”. Adicionar mais funcionalidade a um conjunto de produtos é muito atraente, no que diz respeito a vendê-lo tanto para a gerência quanto para os usuários finais."

 

Stanton Gatewood, CISO do University System of Georgia, por outro lado, queria um sistema especializado em criptografia, por isso escolheu o PGP. "Nós olhamos para outros, mas quando se trata dos detalhes básicos da criptografia e das perguntas técnicas difíceis, as respostas não estavam prontamente disponíveis. Parecia que a criptografia era um complemento - que eles eram um firewall ou antivírus empresa que agora faz criptografia

 

Prepare um caso de negócios sólido. Embora a criptografia possa parecer óbvia, muitas empresas ainda adotam uma abordagem de "esperar para ver", diz Lambert. Convencer os tomadores de decisão a se antecipar a uma violação implementando o FDE pode exigir a apresentação de um caso de negócios sólido. Considere, diz Girard, que o custo para mitigar um único registro de dados comprometido é comparável ou maior do que o custo de instalação de uma ferramenta de criptografia. Além disso, diz ele, o custo para mitigar um grande número de registros de dados violados é sempre maior do que o custo total para implementar a criptografia para todas as plataformas móveis em uma empresa.

 

Não que os custos sejam baixos. Enquanto os preços estão caindo, Girard diz, espere pagar mais de US $ 100 no varejo por assento por até 250 por um produto de criptografia totalmente gerenciado e auditado com suporte para mídia removível . Isso cai para menos de US $ 100 por assento na faixa de 1.000 assentos e abaixo de US $ 70 para 5.000 assentos ou mais, diz ele.

 

Você pode conseguir por menos, diz Ward. O Estado Ele pagou cerca de US $ 11,56 por assento, em vez do preço de tabela de US $ 76, quando o revendedor ofereceu um negócio de 30 dias com 85% de desconto.

 

Considere o suporte para mídia removível. Com a prevalência de drives de mídia USB, mais atenção está sendo dada à criptografia de mídia removível e controle de dispositivo, diz Lambert. Geralmente, os mesmos fornecedores que oferecem FDE ou FES também oferecem criptografia para mídia removível, diz ela, e em alguns casos, como CheckPoint, eles também integram gerenciamento de porta, filtragem de conteúdo, auditoria centralizada e gerenciamento de dispositivos de armazenamento de porta USB.

 

A criptografia de mídia removível foi um dos critérios de avaliação de Patterson. O produto Data Exchange da Utimaco criptografa um arquivo por vez, em vez de todo o USB, diz ele, que é compatível com os tipos de dados que os usuários armazenam, desde músicas até planilhas. Ele definiu a política da empresa para criptografar qualquer coisa que os usuários copiem de seus PCs, com autenticação baseada em senha. Isso requer um treinamento completo, diz ele, para que os usuários saibam como descriptografar e compartilhar arquivos entre colegas de trabalho, então ele está fazendo isso lentamente.

 

Gatewood diz que o PGP permite que os administradores de criptografia conectem funcionalidades para criptografar e-mail, arquivos sendo transferidos e mídia removível no futuro. “Selecionamos um sistema que vai crescer

 

Verifique o método de recuperação de chave do fornecedor. Os fornecedores oferecem abordagens variadas para a recuperação de chave, diz Maiwald, para usuários que esquecem sua senha. Eles variam de portais de autoatendimento para redefinição de senha ao suporte de help desk com um mecanismo de resposta a desafios ou uma senha única ou token que um técnico de suporte pode fornecer por telefone. "Procure uma abordagem que se encaixe perfeitamente com os procedimentos do seu help desk", diz ele.

 

Considere a integração do Active Directory. Os sistemas que se integram ao Active Directory simplificam o gerenciamento exponencialmente, dizem os usuários. “Quando uma máquina é adicionada ao domínio do Active Directory, podemos vê-la no console e mover as chaves de criptografia”, diz Patterson. "É uma grande ajuda para o depósito de chaves."

 

Ward diz que a integração do AD permitiu que ele fizesse uma operação unilateral para preencher o banco de dados da McAfee, economizando muito tempo e garantindo que o banco de dados estava estruturado corretamente. “Era importante não sobrecarregar os administradores”, diz ele.

 

Olhe para a capacidade de relatório. A facilidade de geração de relatórios é outro critério de seleção importante, diz Patterson, para provar que os laptops são criptografados, especialmente quando um deles desaparece. Outros relatórios comuns incluem se os usuários tiveram problemas com criptografia, se ligaram para o help desk e se foi resolvido, diz Gatewood.

 

Considere o bloqueio. Este recurso bloqueia a máquina se alguém não estiver conectado à rede por um determinado período de tempo, normalmente várias semanas. Em Connecticut, Ward diz que as máquinas conectadas à rede normalmente fazem check-in cinco ou seis vezes por dia para enviar logs para o servidor de criptografia. Se isso não acontecer dentro do período de bloqueio configurado, a máquina não permitirá que o usuário se autentique e um administrador precisará desbloquear a máquina. Ele impõe disciplina para que você obtenha logs de clientes continuamente e as máquinas sejam constantemente atualizadas com novos softwares e quaisquer mudanças na política

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.

Strong

5178 blog posts

Redes neurais podem ajudar os computadores a se codificarem: ainda precisamos de codificadores humanos? Science and Technology

Redes neurais podem ajudar os computadores a se codificarem: ainda precisamos de codificadores humanos?

Muffins de whey e framboesa Live Style

Muffins de whey e framboesa

O reconhecimento facial é o maior erro da tecnologia Science and Technology

O reconhecimento facial é o maior erro da tecnologia

Reacties