正如几乎所有网络安全专家都会告诉您的那样,您无法可靠地知道黑客会发现并利用什么漏洞。为了避免攻击,您的防御必须 100% 正确。黑客只能正确一次。
量子计算颠覆了这一切。为什么?两个原因。
首先,量子计算机在某些问题上的效率比经典计算机高得多,并且可以支持更高级和更复杂的计算应用程序。量子作为解决特定计算挑战的计算资源的出现,同时充满了希望和危险。
其次,目前使用的一些加密算法可以用已经构建的量子算法进行黑客攻击。在很长一段时间里,这很好,因为没有足够大或足够快的量子计算机来破解它们(即加密分析相关的量子计算机或CRQC)。但这种情况正在改变。美国的对手正在量子计算领域投入巨资,这使得基于量子的攻击对我们加密算法的威胁更加引人注目。
此外,我们依赖于加密,因为我们的数据传输的网络可能会被拦截。一个持续的担忧是,即使不良行为者还不能对我们的数据做任何事情,他们也可以现在收集它,存储它,并在以后播放它。
那么,面对这一现实,联邦机构该怎么做呢?
正如美国国家标准与技术研究院(NIST)、网络安全和基础设施安全局(CISA)和国家安全局(NSA)所建议的那样,各机构应继续开展良好的网络卫生实践,尚未购买企业抗量子算法解决方案,但试点和测试除外。NSA预计,一旦采用国家标准,到2035年将过渡到抗量子算法。然而,与此同时,CNSA(商业国家安全算法)1.0和2.0算法为国家安全系统提供了基准。
此外,机构应评估其加密资产,并确保他们有信心其扫描不会丢失特定设备或数据存储以及与物联网(IoT)和外围设备的连接。各机构还应确保他们清楚地了解和评级其组织内各种数据集的重要性和敏感性。虽然所有数据都很重要,但带宽和资源限制确实存在,因此各机构必须制定路线图,确保首先保护最高灵敏度的数据。
这些都是符合零信任方法的良好做法,但量子威胁为尽快完成这项工作提供了额外的动力。此外,白宫发布了一份国家安全备忘录,规定了联邦机构为这一威胁做好准备的要求。
GDIT开发了一个框架,帮助各机构为量子威胁做好准备,并浏览最终将发布给各机构实施的新标准,这些标准预计将于2024年由NIST实施。GDIT 量子复原框架是一种基于风险的后量子加密实现方法。
它包括以下步骤:
评估风险
首先查看整体加密风险概况。一些算法将受到量子计算的严重影响,而一些算法将受到较小影响。各机构应该知道他们与最新的NIST加密标准有关的位置,并了解不与时俱进的风险。
分析影响
检查整个组织中使用的加密以及它们支持哪些服务。这可以包括 Web 浏览、电子邮件、数字签名、消息摘要、密钥交换、VPN、企业数据中心传输和静态数据。确定哪些对于保护和了解潜在的量子攻击的影响最重要。
确定操作的优先级
完成影响评估后,制定风险响应策略(例如,接受、避免、转移或缓解)。然后,确定风险类别(严重、高、中、低)的优先级,并为每个类别定义风险承受能力声明。在这些陈述中,阐明您将采取什么行动,以什么顺序,谁将执行这些行动,以及在什么时间范围内。
检查解决方案
确定保护关键服务所要采取的措施的优先级后,请检查解决这些问题的可用解决方案。在有经批准的抗量子解决方案的情况下,不应该愿意接受风险。各机构应探索可行的近期解决方案,以应对“收获和重播”的威胁。长期解决方案应基于批准的NIST和/或NSA标准。
实现
一旦NIST经过全面审查并提供指导,实施驱动弹性的抗量子算法是合乎逻辑的下一步。实施过程的一部分涉及遵循风险优先级计划,并明确将按什么顺序实施哪些解决方案。
跟踪到完成
机构应确保跟踪和记录其解决方案实施情况。这将为新标准发布时的未来更新提供路线图。
持续监控
与任何与网络安全相关的事物一样,各机构应持续监控其加密风险。预计标准和解决方案将随着量子的进步以及黑客技术复杂性的进步而经常更新。
为了在整个企业中实现量子弹性,各机构应立即为这些活动进行规划和预算,以便能够在新标准发布后立即准备好实施新的解决方案。目标是进行主动规划,推动未来的安全;提高对数据机密性和完整性的信任;降低当前加密算法面临未决量子威胁的风险;并不断扩大对昆腾对整个企业网络安全的影响的认识。
作者:通用动力信息技术 (GDIT) 迪砂和企业服务副总裁兼总经理 Jim Matney 博士。
来源:MeriTalk,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
