对移动设备的加密的需要是显而易见的，但服务器上的数据也可很容易被盗取，如果它不是加密的话，因为有的组织的服务器有时很容易进入。

其中一个臭名昭著的例子发生在2003年8月27日位于悉尼机场的澳大利亚海关服务的国家货运情报中心。自称是IT外包提供商EDS公司技术人员的盗贼偷走了两个组织的四台服务器，而被盗走的还有大量的情报数据。

“窃贼长的有些像中东、巴基斯坦或印度人，提供了EDS公司访问主机房的假证件”悉尼先驱晨报报道说。

“那天晚上，盗贼用手推车装载两个服务器经过了三楼的保安处，进入电梯，并走出大楼，整个过程花费两个小时。”

罗德威斯表示，他“很少”看到在服务器部署上加密措施，而那些黑客具有跨越许多垂直行业，并有一些客户群。

“当你听到人们谈论它时，可能谈论的是信用卡环境，如果你要求加密的信用卡信息，我认为最常用的方法是在数据库内进行加密。”他说。“这是典型的，因为它获得了基于主机的加密。”

事实上，任何一种对组织的物理访问措施通常都是不够的。

“当有人进入一个组织的工作站时，那么游戏就结束了，因为要启动备用媒质获得的原始数据是微不足道的。”罗德威斯说。

“在我们所做的几乎每一个渗透测试中，我们看到，工作站的本地管理员的密码与组织的每一个本地管理员密码相同。”他说。这可能是因为该组织已复制密码到工作站中，并作为其标准操作环境(SOE)推出，或仅仅是因为IT工作人员需要能够有效将信息从一台计算机移动到另一台计算机。

“如果你妥协一个端点，你会得到本地管理员密码，那次十有八九这个游戏结束了，你重新使用这些凭据进入环境中，你不需要访问主要管理主机。你只需要访问本地管理工作站，你就可以进入。”

而这样使得事情变得更糟糕。即使是物理上渗透，组织通常是不想面对这样的情况。

“最成功的攻击案例是，组织面临着大量网络钓鱼电子邮件的威胁，并利用最终用户的工作站来攻击网络的其他部分。”罗德威斯说。

“从外部看，你仍然看到人们在设计他们的应用程序时，但从本质是一种有缺陷的选择。”他说。

设计不佳的一个常见的指标是用户把自己的明文密码通过电子邮件发送回给他们，罗德威斯称之为“立即失败”。

“事实上，他们仍然定期在数据库中存储未加密的密码值。所以黑客立刻知道他们的身份验证模块设计的整体思路，大概是如何保护的，这是直接的标志，他们在之前不会做任何事情，95%的时间是正确的。”罗德威斯说。

IBRS安全分析师詹姆士·特纳表示，这一切其实是反对把太多精力投入到对数据进行加密的参数上。

“需要询问全磁盘加密的问题是‘什么是攻击，如何才能真正地预防？’如果计算机正在运作，别人如何实际使用它，那么全磁盘加密真的没有保护任何东西吗？黑客可以通过网站漏洞或什么缺陷，并获得所有明文的东西，”特纳说。“加密虽然很重要，但并不是组织投入全部精力的事情。罗德威斯的策略是非常有效的。而认证是我看到的许多组织面临的挑战。”

特纳引述一个首席信息安全官(CISO)的观点，并寻求身份管理厂商的建议。“采取一个身份管理项目的工作。”首席信息安全官表示。

“这就是问题所在。身份认证其实是真的很难。”特纳说。

“密钥管理，也有解决方案。难道这样做的就可以吗？可能不是。它将是我们面临的问题之一，因为我们开始越来越多地进入云计算。而企业的数据加密将变得越来越重要吗？是的，数据加密将直接与企业所投入的数据的价值成正比。而云供应商都在全力以赴地解决这些事情。”

在人事管理(OPM)的美国办公室最近海量数据破坏似乎支持特纳的观点。加密“不会在这个情况下帮助”，国土安全部助理部长的网络安全安迪Ozment博士部据说在国会作证时，因为攻击者获得了有效的用户凭据。

最近，美国办公室人事管理(OPM)部门大量数据泄露的事件似乎支持特纳的观点。在这种情况下，加密不会有什么帮助。致力于网络安全的美国国土安全部助理部长安迪·奥兹曼博士在国会作证时表示，攻击者已经获得了有效的用户凭据。

特纳并没有得到多少关于全磁盘加密的查询信息。

“如今，我们知道加密不是一个绝对优先级的事情。”特纳说，“因此，加密不是不重要，但并不是全部和最终一切，它只是我们需要使用的工具之一...这有点像DLP数据丢失防护技术。”他说。

“对于被留在机场一个笔记本电脑来说，全盘加密才能提供真正的安全。”

(责任编辑：安博涛)