南非Pat Office的银行部门Postbank最近报告说，一名流氓员工盗窃了用于保护银行系统的36位主密钥。结果是：25,000起欺诈性收费，价值5600万兰特（320万美元），以及高达10亿兰特（5800万美元）的价格，用以取代银行发行的所有信用卡和ATM卡。

此事件很好地提醒了灾难性后果，即使单个密钥被盗也可能对组织造成危害。

每个密钥都非常重要！

在Ponemon的最新报告中，受访者发现组织平均拥有88,750个密钥和证书，而74％的受访者承认他们不知道组织中使用的确切密钥数量。

令人震惊的事实：大多数组织缺乏有效管理密码密钥的工具、重视程度、技能和预算。但是，每个组织都需要了解自己的每个密钥，以便对其进行管理和审核。

这里要强调的一点是，每个密钥都需要管理。经常监视和监视的资产很少会发生违规和妥协的情况；正是那些未被管理的资产最容易导致违规。

查找每个密钥，管理每个密钥，监视每个密钥，审核每个密钥。

生命周期管理事项

一旦确定了所有密钥，就可以开始研究如何改善每个密钥的生命周期以进一步减轻风险。

 在大多数情况下，密钥会过期并且需要更新。如果钥匙没有过期，也依旧需要更新。这样做有几个目的，其中最重要的两个目的：

1. 它将使用泄露密钥的风险降至最低
   

2. 它保持当前的加密标准和最佳实践

但是在许多情况下，许多人都在尽量避免更新密钥，因为这在他们的眼中是一项繁琐的任务。

使用自动化的密钥管理吧！

密钥的生命周期应实现自动化，以确保定期更新密钥，以避免与密钥进行人工交互，避免使用密钥的设备配置错误。

所有权事项

密钥和证书的所有权通常分布在整个组织中，而管理层则对应用于加密密钥的策略进行了假设。新的现实是，不再需要分散的密钥管理方法。

一些组织通过建立“卓越的加密中心”来控制此问题。这个核心小组通常向执行人员报告，负责组织内政策和程序的创建和应用。卓越的密码学中心还可以快速建立：

• 组织中有哪些密钥，以及它们的位置
  

• 系统和应用程序如何使用密钥

• 哪些密钥不符合当前标准

• 如何在组织中的所有密钥上，应用最佳实践

随着立法继续推动加密的使用，保持产品和应用程序安全所需的密钥数量继续快速增长。随着这种增长，需要了解每个密钥的下落和所有权，以最好地确保附在这些应用程序和产品上的密钥信息和数据保持安全。

正确的密钥管理已经超越了仅充当安全调查表中的复选框的级别。这是并且将继续是一项关键的业务战略计划。简而言之：与违反或妥协的业务，品牌和财务成本相比，对密钥管理的投资简直是九牛一毛。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 保护云前沿：应对多云时代 SaaS 数据保护的复杂性

• Thales和HPE GreenLake扩大合作伙伴关系，提供增强的数据保护