2020 年初，一些技术——最初是怀着很好的意图而开发的——似乎也有其阴暗的一面，挑战着我们想出新的方法来利用和处理它们的能力。

这些技术之一就是加密技术，它是多年前为了增强数字数据和数据流的安全性而开发出来的，现在已经被运用在无数的消费产品中。

互联网是加密技术应用的重要推动力。因此，当今全球 80% 以上的互联网流量都经过了加密。例如，WhatsApp 使用加密技术向用户保证，只有预期的收件人才能阅读他们的消息。在网络犯罪分子全天候活跃、试图获取尽可能多的数据的世界里，这种级别的安全性是在线数据交换的基本特征。

每月3亿次攻击

然而，加密技术的普及和成功并没有逃过网络数据窃贼的视线。多年来，网络犯罪分子一直采用各种伪装手段继续追捕目标。

他们最近的伎俩之一是以加密格式发送恶意代码，试图绕过传统的安全程序，因为这些程序无法查看加密数据包的内容，或者故意设计为不查看，以保护用户的隐私。在某些情况下，安全解决方案可能根本没有足够的容量来检查所有加密流量的内容，而不会停止运行。犯罪分子已经在大规模部署加密威胁。2019 年，Zscaler ThreatLabZ 团队每月记录了近 3 亿次此类攻击！

证书颁发机构

许多组织认为，由于他们使用公钥基础设施 (PKI)，因此可以免受 SSL 加密数据攻击。PKI 提供加密互联网流量所需的技术，其中包括一个称为“证书颁发机构”的组件。

证书颁发机构负责管理和保护密钥，并向网站提供证书，这些证书是浏览器“锁”的钥匙。许多证书颁发机构都做得很好，并尽其所能确保通信安全。但原则上，任何人都可以建立 PKI 基础设施并颁发证书。

很多证书颁发机构声誉良好，执行高水平的检查和验证流程，但也有很多证书颁发机构声誉不佳，它们以未经任何检查就向“坏人”颁发证书而闻名。因此，这些坏人现在很容易构建自己的加密网站，至少乍一看，这些网站看起来完全合法。

这意味着数字交易可能看似安全，但实际上却并非如此。SSL/TLS 加密可确保机密性和完整性，让用户确信其数据在传输过程中不会被查看或操纵。浏览器中显示的那个小锁并不会透露任何有关此人或您正在与之通信的系统的任何意图。

CISO 面临的困境

这些发展给许多 CISO 带来了复杂的困境。他们不必担心是否对传输中的数据使用加密。这个问题已经得到解答，因为加密大大增强了安全性，而且通常是强制性的。挑战在于已经加密的传入数据流量。

虽然大多数 CISO 都明白检查加密数据可以进一步提高安全性，但有些人仍然不确定是否真的要这样做。有时，公司可能没有有效检查传入加密数据所需的技术；有时，这种疑虑源于对员工隐私权的不确定性。

这种不确定性确保了现状得到维持，加密数据流量被毫无疑问地接受——即使组织不知道数据包包含什么，也不知道它是否会对公司或员工造成伤害。

2018 年中期推出的《通用数据保护条例》（GDPR）是许多 CISO 怀疑扫描加密数据流量措施合法性的原因之一。尽管该法规没有明确规定组织应实施哪些预防措施才能被视为合规，但它明确指出了一件事：组织有责任为员工提供安全的数字工作环境。

如果一个组织不知道哪些数据进入了它的系统，也不知道这些数据会产生什么影响，那么它就没有尽其所能地促进《GDPR》第 32 条所描述的安全的数字工作环境。

对于任何担心隐私问题的 CISO，请记住这一点：在检查期间，报告和日志（或者更准确地说，从它们生成的文件）可以配置为仅向操作员显示元数据。所有 PI 字段都被屏蔽。这种方法提供了足够的信息来对数据进行技术检查。

如果此检查表明发生了某个事件以证明披露 PI 数据是合理的，那么您可以启动一个流程来深入了解混淆的个人数据。

此流程仅适用于特殊情况，例如，如果有人涉嫌泄露数据，或者您需要知道谁的系统遭到黑客攻击。通常，人力资源或法律团队的代表会参与此类流程。组织还可以在隐私政策中规定其流程，员工应了解并理解这些政策。

解决方案：安全云

越来越多的组织选择通过安全云发送和接收所有数据流量。这些服务具有足够的能力在极短的时间内分析大量数据（包括加密数据），然后再将其转发给最终用户。

这种工作方式的主要优势之一是解密和检查过程发生在云端，这意味着组织不需要在处理能力上进行大量投资 - 并且他们只会收到已获得云安全提供商批准的数据。

借助云技术，组织可以继续受益于加密的强大功能，继续遵守 GDPR 等法规，并向员工保证他们的隐私和数据将在所有设备上受到保护。