端到端加密通信可降低企業安全風險并確保合規性 - 網安 - 專業的網絡安全產業、社區、知識平臺

可以肯定的是，提供端到端加密(E2EE)的通信產品可以更好地保護數據。

但是，在考慮企業使用E2EE通信時，需要許多CISO在數據保護之前優先考慮法規要求。大多數《財富》 1000強合規性和安全團隊都有能力訪問其企業通信平臺上的員工帳戶，以監視活動并調查不良行為者。在受到嚴格監管的行業中通常需要此訪問權限，并且E2EE被認為阻止了關鍵的公司訪問權限。

不幸的是，對于大多數公司中的企業安全和合規團隊而言，未經許可的通訊平臺（如WhatsApp）被用于在外部違反公司政策進行敏感業務。就在最近，摩根士丹利的高管因使用WhatsApp而被從公司撤職。

員工已經了解到，他們的IT，合規性和安全團隊并不是唯一可以特別訪問其通信的人。他們知道Slack，Microsoft，Google等也可以訪問其數據和通信。因此，許多人轉向了消費者端到端產品，因為他們不愿意在服務提供商既要監聽又要負責安全的系統上進行敏感業務。

將敏感的業務帶給消費品是有風險的。這些消費級平臺不是專門為安全和合規的通信而構建的。他們優先考慮參與和娛樂活動，從而導致不斷出現安全漏洞，例如中間人攻擊和遠程執行代碼漏洞。多年來，WhatsApp用戶在這些安全漏洞中首當其沖。

CISO只能選擇對使用諸如WhatsApp之類的消費者E2EE產品的員工視而不見，或者放任和制定政策例外，他們希望這些例外可以安撫監管機構。然而，這種方法是對長期使用不合格和不安全的消費產品的認可。

企業安全團隊一直在錯誤地認為E2EE是僵化的。沒有后門意味著世界上最可靠的密碼學只有一種千篇一律的實現。實際上，E2EE是靈活的，可以與公司政策和行業法規一起部署。

CISO無需在遵從性和強加密之間進行選擇。無論行業如何，組織都可以使用遵守法規，內部策略并與IT工作流集成的E2EE。這意味著企業使用E2EE的決定可以集中于保護數據免受對手，競爭對手和服務提供商的侵害，而不用擔心會違反規則。

在選擇支持E2EE的通信平臺時，安全專業人員需要評估供應商的主張，能力和動機。雖然某些主流平臺宣傳E2EE，但它們僅加密從端點到服務器的流量。這稱為客戶端到服務器加密（C2S）。Zoom最明顯發生在今年早些時候，當時他們將產品作為E2EE出售。

大多數合理的安全專家都認為這不是惡意欺騙最終用戶的嘗試，而是真正缺乏密碼學的理解和復雜性。該公司認為，盡管C2S架構容易受到中間人攻擊，但綠色鎖定符號會使最終用戶感覺良好。

不從事保護關鍵用戶信息業務的提供商幾乎可以肯定會聲稱他們不理解并提供“不吸”而不是嚴格的安全技術的解決方案。

擁抱E2EE的CISO將受益于數學的確定性。確保服務提供商有能力并致力于提供真正的E2EE，這一點很重要。

強大的E2EE解決方案包含三個重要支柱：

這就是說，CISO的零信任安全策略應擴展到服務提供商。如果您的Unified Communications Service提供商可以訪問，挖掘和分析您的數據，那么它們就是攻擊面。我們知道這種訪問可能導致未經授權的訪問。強大的E2EE具有數學確定性，從而消除了服務提供商的風險。

符合法規要求的E2EE是一個相對較新的現象。但是，對于CISO來說，比以往任何時候都更加重要，要權衡使服務提供商能夠訪問其公司所有數據的風險，以及在遵守公司合規性要求的同時控制其數據所帶來的無與倫比的好處。

在為企業通信提供不妥協的安全性時，E2EE是組織的必備功能，現在可以在不違反規則的情況下實現它。此外，當組織以有遠見的態度部署企業E2EE時，他們可以通過為員工提供所需和應有的安全性和私密性，使最終用戶脫離WhatsApp，We Chat和Telegram等危險產品。