揽阁信息科技(上海)有限公司

行业新闻Security News

您当前所在位置: 主页 > 新闻动态 > 行业新闻

隐藏在您自身基础设施中的加密盲点

发布日期:2026-07-13  浏览次数:

隐藏在您自身基础设施中的加密盲点(图1)

现在,各大行业的董事会议室和安全运营中心都在召开会议。有人拿出一份报告,推到桌子对面,说道:“这是我们的加密资产清单。”


众人点头。首席信息安全官指着覆盖率百分比。审计员勾选了一个方框。董事会注意到公司“正在努力实现后量子时代准备”。会议结束。人们各自散去。


那份报告里的大部分内容都是错误的。


并非团队能力不足,也并非工具失效,而是因为一个更为根本的问题:所谓的加密资产清单,其设计初衷并非为了满足人们现在的需求。它最初是为了回答一个更简单、更具体的问题而构建的,多年来,它一直默默地无法回答这个更复杂的问题,却无人察觉。


真正的加密资产清单不仅仅是一份TLS 证书列表。它是一个持续维护的记录,涵盖企业内所有加密资产、算法、密钥、证书、库、依赖关系和信任关系。


大多数组织实际拥有什么,以及为什么直到现在都觉得足够了

随便走进一家企业安全部门,问问他们如何追踪加密资产,得到的答案,抛开厂商的术语和行话,通常都是大同小异:网络扫描、TLS证书枚举,或许还会用到证书管理平台来追踪证书的发放情况,甚至可能还会用到漏洞扫描器来标记已弃用的密码套件。


这种做法并非不合理。过去十年间,加密技术的实际风险基本可控。你的对外服务是否使用了过时的TLS版本?你的证书是否即将过期?你是否在显眼的地方运行了RC4或MD5?解决这些问题,你就基本符合了要求。


扫描仪非常适合这项工作。它们检查外部可见的部分,标记出异常之处,并生成报告。问题在于,问题本身已经发生了巨大且永久性的变化,而工具却没有随之改变。


监管机构、标准制定机构和威胁情报机构不再询问您的 TLS 配置是否干净。他们询问的是,您是否对整个环境中的所有加密依赖项都有完整、准确且持续的了解,这些依赖项包括应用程序、数据库、代码、嵌入式系统、云工作负载、第三方集成以及在其运行期间从未暴露于网络扫描器的内部服务。


那是一个截然不同的问题。而且大多数组织都没有答案。


无人坦诚谈论的库存缺口

组织声称了解其加密环境的情况与实际了解的情况之间存在巨大差距。在大多数情况下,这并非微小的误差范围,而是一道鸿沟。


密码学并非主要存在于网络线路上,而是存在于系统内部。它存在于应用程序代码中,开发者在五年前或十年前做出的加密选择可能从未被重新审视过。它存在于数据库中,静态数据的保护(或不保护)取决于初始部署时选择的算法。


在第三方库和开源组件中,加密实现可能落后于当前标准好几个版本。在制造工厂、医院网络和公用设施系统中运行的物联网和运营技术设备中,其固件可能已有十年之久,而且在不中断运行的情况下根本无法更新。


网络扫描器无法检测到大部分此类信息。它只会检查边界网络和内部网络,寻找响应查询的内容。而真正重要的加密技术——保护您最敏感的数据、最关键的系统以及履行监管义务的加密技术——大多不会响应这些查询。


这就造成了一种局面:看似最全面的报告往往最具误导性。扫描程序运行完毕,发现了问题,报告也已生成,团队感觉掌握了信息。但实际的加密风险范围可能比报告反映的范围大五到十倍,而最危险的风险往往是报告中从未提及的。


为什么这件事现在比以往任何时候都更加重要

两种因素的汇聚使得这个问题变得前所未有的紧迫。


首先是监管方面。美国国家标准与技术研究院 (NIST) 于 2024 年最终确定了后量子密码学标准(FIPS 203、FIPS 204 和 FIPS 205),正式确立了 RSA、椭圆曲线密码学和其他经典非对称加密方案的算法替代方案,而量子计算机最终会使这些方案变得不堪一击。更广泛的迁移指令正在联邦机构中通过 NSM-10 及其后续标准推进,私营部门的义务也正在逐步落实。


PCI DSS v4.0.1 引入了 12.3.3 条款,该条款于 2025 年 4 月 1 日强制执行,要求组织记录并每年审查所有正在使用的加密套件和协议,包括制定应对预期加密漏洞的书面计划。美国证券交易委员会 (SEC) 的网络安全披露规则正促使上市公司了解并准确披露重大网络风险,其中加密风险日益增多。


第二个威胁因素是量子威胁本身,特别是被称为“先捕获后解密”的策略。国家级敌对势力目前正在捕获加密的网络流量和数据,其明确目的是在足够强大的量子计算机问世后对其进行解密。情报界目前的普遍假设是,这一风险窗口将在本十年内开启。


实际上,这意味着今天使用RSA加密或椭圆曲线密钥交换保护的数据,即使你现在确信这些数据是安全的,也可能正躺在对手的存储系统中,等待硬件升级。对于处理敏感财务数据、健康信息、知识产权或国家安全信息的组织而言,这并非理论上的未来问题,而是迫在眉睫的风险。


隐藏的攻击面:密码学的真正应用领域

大多数加密风险并非存在于网络扫描器能够检测到的地方。它存在于应用程序和系统内部,而最关键的加密决策往往是在从未被外部扫描过的环境中做出的。


应用层加密:身份验证服务中的 JWT 签名算法、云存储前用于加密文件的 AES 密钥长度、内部 PKI 工具中的RSA密钥生成,以及集成到微服务中的 TLS 客户端配置。这些都无法通过网络扫描检测到,它们仅存在于代码中。


数据库加密:透明数据加密的部署往往缺乏文档说明,例如使用了哪些算法、密钥管理位置,以及数据库引擎版本过时后会发生什么。列级加密可能由不同的团队在不同数据库中以不同的方式实现,并且没有统一的记录。


第三方和开源库:加密物料清单 (CBOM)旨在揭示这些依赖关系,但生成CBOM需要访问您的代码库,而不仅仅是您的网络边界。您无法通过外部扫描获取 CBOM。


基础设施和云服务:有哪些密钥轮换策略?哪些服务正在使用哪些密钥材料?是否存在某些区域或工作负载由于操作仓促而未配置加密,并想当然地认为这是默认设置?


运营技术 (OT)、物联网 (IoT) 和嵌入式系统:工业控制系统、医疗设备和楼宇管理系统通常运行固件,这些固件的加密配置是硬编码的,且没有升级途径。这种风险真实存在,而且往往十分严重,几乎不会出现在传统的库存报告中。


这些类别中的每一个都代表着您的扫描器未报告的加密风险,因为它从未被设计用来检查这些风险。


扫描密码和真正理解密码之间的区别

这种区别很重要,值得坦诚地说明。


扫描发现信号,盘点增进理解。


扫描器可以告诉你某个IP地址上的服务器正在提供使用SHA-256签名的证书,协商TLS 1.3协议,并提供特定的密码套件。这很有用。但它无法告诉你服务器处理的数据所使用的加密技术。它也无法告诉你应用程序是如何构建的,它依赖哪些库,它使用哪些密钥,这些密钥存储在哪里,以及它们是如何轮换的。


真正的加密资产清点直接连接到实施加密技术的系统,包括应用程序代码、数据库、配置管理系统、云控制平面和密钥管理基础设施。它采用的是从内到外的全貌,而不是从外到内。


那些真正进行过由内而外密码学盘点的组织一致反映,结果令人惊讶。这并非因为他们粗心大意,而是因为现代企业的密码学面非常庞大、非常复杂,而且如果没有专门的方法,就很难理解。


高管需要问什么,安全团队需要听什么

对于高管和董事会成员来说,这个概念很简单。如果您的组织持有敏感数据,包括客户财务信息、健康记录、知识产权和个人身份信息,那么您就面临加密风险。问题不在于这种风险是否存在,而在于您是否充分了解它并能够有效管理它。


你应该向安全领导层提出的正确问题不是“我们是否有库存清单?” 正确的问题是:

  • 生成该图像采用了什么方法?该方法是访问内部系统还是仅访问网络可见信号?

  • 我们已经对应用程序组合中有多少百分比进行了加密依赖性分析?

  • 我们是否有内部开发软件和第三方软件的物料清单 (CBOM)?

  • 哪些系统正在使用NIST已弃用或正在弃用的加密算法?

  • 我们是否评估过对于具有长期敏感性要求的数据,我们面临“先获取后解密”攻击的风险?

  • 我们的加密敏捷性计划是什么?当现有算法出现漏洞时,我们是否有能力迁移算法?我们是否真的进行了端到端的测试?


如果答案含糊不清,或者所谓的“清单”实际上只是一份证书报告和一份TLS扫描报告,这都是重要的信息。这意味着工作尚未完成。


对于安全从业人员和架构师而言,任务更加明确。过去十年适用于密码风险管理的工具和实践,在未来十年已不再适用。构建真正的密码资产清单需要直接连接到这些系统,以对待任何其他关键资产类别的同等严格标准来对待密码资产,并将该清单维护为一个动态更新的资产,而非一份单次报告。


加密敏捷性:没有储备就无法构建的战略能力

加密敏捷性是指组织在算法弃用、漏洞发现或标准变更时,识别、优先排序和迁移加密实现的能力。它回答了以下问题:当我们需从 RSA-2048 迁移到后量子算法时,我们能以多快的速度完成迁移,以及能在多少个系统上完成迁移?


这个问题的答案完全取决于您对当前加密环境的了解程度。那些真正投入资源进行全面盘点的组织都拥有迁移路径。他们清楚哪些系统需要变更、变更顺序以及变更之间的依赖关系。他们可以制定路线图、估算工作量、跟踪进度,并向审计人员和监管机构证明其合规性。


依赖不完整扫描式清单的组织面临着不同的困境。随着监管期限的临近、算法的过时以及量子威胁的不断演变,他们将在时间压力下识别加密依赖项,并同时尝试进行修复。这种加密迁移方式成本高昂、风险巨大,而且完全可以避免。


投资于真正的加密资产清单不仅仅是为了合规。它关乎未来管理加密风险的运营能力,在加密需求发生变化时快速响应,并向监管机构、客户和合作伙伴证明您的组织了解并掌控其加密环境。


一个切实可行的起点

前进的道路并不像看起来那么复杂,但确实需要诚实地面对自己的起点。


第一步是要认识到,大多数组织目前所拥有的并非真正意义上的加密信号清单,而只是部分加密信号的概览。这固然是一个起点,但真正的风险在于将其误认为是全面的加密信号图景。


接下来,这项工作包括绘制加密环境的实际范围图:哪些应用程序存在,哪些系统存储敏感数据,哪些基础设施组件具有加密配置,以及哪些第三方集成引入了依赖关系。仅此一项范围界定工作就很有价值,因为它能使问题的实际规模一目了然。


接下来是系统性地连接这些系统的工作,不是从外部审视它们,而是与密码学配置和部署的真实数据源进行整合:代码库、配置管理数据库、云 API、密钥管理系统、数据库配置和应用程序清单。每一次连接都能提升信息的准确性。


最终得到的清单能够真正支持决策:按风险优先级排序,与业务背景相对应,可用于制定补救计划,并且能够经得起审计人员和监管机构的审查。


揽阁信息如何提供帮助

我们端到端的后量子密码学 (PQC) 准备计划,通过结构化的三支柱方法,帮助企业从盲点走向全面迁移:发现现有方案、理解其意义并制定解决方案。


支柱一:CBOM 安全解决方案——了解您拥有什么

你无法保护你看不见的东西。我们的解决方案深入你的环境,揭示应用程序、库、基础架构和管道中的所有加密依赖项,生成与真实系统上下文关联的结构化、机器可读清单。


与仅捕获网络可见信号的扫描输出不同,您需要的方案应该是可以连接您的源代码库、构建管道、容器镜像、软件包清单和云配置。最终生成一个动态的 CBOM,其中记录了所有正在使用的加密算法,包括那些隐藏在第三方库深处、团队多年无人问津的算法。


确保安全性的关键不仅在于库存清单的完整性,更在于如何管理这些清单。


CBOM 成为一切工作的基础。没有它,任何 PQC 评估都只能靠猜测。有了它,后续的每一项决策(优先级排序、迁移顺序、合规性报告)都将基于事实。


支柱二:PQC评估——了解其含义

拥有库存清单并不等同于了解您的风险。PQC 评估会对您的 CBOM 进行评估,并对照以下关键要素进行分析:NIST 最终确定的后量子标准(FIPS 203 /ML-KEM、FIPS 204 /ML-DSA、FIPS 205 /SLH-DSA)、CISA 和 NSA 当前的迁移指南、适用的监管框架(PCI DSS 4.0 要求 12.3.3、NSM-10、CMMC、HIPAA),以及您组织和您所保护数据的具体威胁状况。


这份评估报告解答了您的董事会和审计委员会已经开始提出的问题:

  • 我们的哪些系统运行着量子计算机可以破解的加密技术?

  • 我们“先收集后解密”的风险最高的地方在哪里?特别是那些即使几年后解密仍然会造成严重损害的数据?

  • 哪些系统需要优先迁移,哪些可以稍后迁移?

  • 我们的应用和基础设施组合的迁移复杂性究竟如何?

  • 我们在履行监管义务方面处于什么位置?在下一个审计周期之前,需要弥补哪些差距?


最终输出结果并非漏洞列表电子表格,而是一份按风险优先级排序、结合业务背景的评估报告,它能指导技术团队的工作重点,并为领导层提供清晰的阐述,帮助他们理解这项工作的重要性以及所需投入。


支柱三:PQC实施支持——构建前进之路

评估若不付诸实施,就只是昂贵的文档而已。我们的实施支持服务会将您评估中确定的优先级路线图转化为可运行、已部署、后量子加密的方案,并将其集成到您的实际系统中,经过测试和验证。


我们的实施工作涵盖了整个迁移生命周期:

  • 算法选择和集成指南:针对每个用例实施正确的 NIST 批准算法,并充分考虑性能特征、密钥管理影响和互操作性要求。

  • 混合密码部署:管理过渡期,在此期间,系统必须同时支持经典算法和后量子算法,以便与您无法控制的合作伙伴和系统向后兼容。

  • 密钥管理和 PKI 现代化:从底层升级管理密钥的基础设施,使其具备量子安全特性,而不仅仅是在密码层。

  • 加密敏捷架构:设计系统和流程,使算法迁移成为一项运营事件,而不是一项需要数年才能完成的紧急计划,以便在下一次变革到来时能够顺利进行。

  • 验证和合规性证据:可供审核的文件、测试结果和证明,以证明您的 PQC 迁移是真实、完整且维护良好的。


企业在PQC(产品质量控制)准备方面举步维艰,并非缺乏意识,而是缺乏在真实的企业环境中,面对真实的系统、真实的限制和真实的时间节点,将意识转化为行动的运营能力。而这正是加密咨询公司所致力于填补的空白。


结论

密码学威胁环境发生了变化。监管环境也发生了变化。过去十年行之有效的工具和实践已不足以应对未来的挑战。


量子计算不再是五年前看似遥不可及的科幻场景,美国国家标准与技术研究院 (NIST) 的后量子标准已经最终确定,迁移的倒计时已经开始,监管机构提出了更加严格的问题,而那些能够成功应对这一挑战的组织,正是那些现在就投资了解自身所有加密依赖项(而不仅仅是网络边缘可见的那些)的组织。


扫描仪本身并非敌人。它是一个有用的工具,却被要求去做它原本不该做的事情。错误不在于运行扫描仪,而在于就此止步,并称之为库存盘点。


揽阁信息 · 值得您信赖的信息安全顾问!

服务热线

服务热线

13524448503

微信咨询
返回顶部
X

截屏,微信识别二维码

微信号:13524448503

(点击微信号复制,添加好友)

打开微信

微信号已复制,请打开微信添加咨询详情!