大多数信息安全专家认为，数据加密使您更安全，这是不言而喻的。尽管有时您对数据或流量进行加密的决定是由合规性要求决定的，但考虑不同形式的加密实际上可以保护您免受哪些威胁的影响仍然存在。

加密数据中心中的静态数据

在从数据中心物理卸下硬盘驱动器的情况下，这可以为您提供保护。如果您的数据中心位于主机托管设施中，则您可能对物理安全性的信任度不足，这非常重要。

如果服务器位于您自己的数据中心中，则尽管加密显然不会受到损害，但您可能已经拥有良好的物理控制并且获得了微不足道的安全性。

加密员工笔记本电脑中的静态数据

这样可以在物理上失去对笔记本电脑的控制时为您提供保护。考虑到笔记本电脑被带到异地，遗留在汽车后备箱中而遗忘在咖啡馆中，这种情况在拥有1000名员工的公司中发生的可能性非常高。因此，安全性获得了可观的收益。

加密通过Internet传输的数据

这样可以防止big-bad-internet上的外部人看到您的通信内容，从而为您提供保护。为此，加密可以采用SSL / TLS或IPsec VPN的形式。

如果需要在加密的流量离开网络之前查看它的内部，可以为出站连接放置一个转发代理。如果需要在加密的流量到达服务器之前查看其内部，则可以在入站连接上使用反向代理或负载平衡器。

由于您实际上无法控制通过Internet承载数据的网络基础架构，因此坚持对此流量进行加密是很有意义的。

加密内部网络中正在运行的应用程序数据

这样可以防止他人看到您的应用程序流量（以及潜在的帐户密码），从而保护您免受网络内部人员的攻击。

对于基于HTTPS的应用程序尤其如此，该应用程序通常在TLS包装器中使用明文密码来验证用户帐户，并且是在假设流量将被加密的情况下开发的。

在企业网络中拦截此流量的可能性受到合理限制。毕竟，交换机仅在中继端口或通向该流量所要到达的计算机的端口上发送单播流量。但是，由于具有特权的网络管理员可以访问中继端口，因此此处的加密仍然有意义。

加密内部网络中正在运行的基础结构协议

所谓基础架构协议，是指构成许多企业骨干的协议。这些包括DHCP，DNS，Kerberos，SMB和DCERPC。如果您是以Windows为中心的企业，则这些协议中的后三个协议是Windows客户端和服务器所依赖的许多服务的基础。

事实证明，对这些协议进行加密几乎没有提供针对可能的攻击媒介的保护，因为它们是在明确运行的前提下设计的。对这些协议进行加密实际上会消除通过检查受到攻击的终结点来检测受到感染的终结点的能力。

鉴于端点被破坏的可能性更大，内部流量被拦截的可能性大大降低，而清晰地看到这些协议，则在飞行中加密基础设施协议所产生的价值将大大降低。交易。

以SMB为特色的案例研究

2012年，Microsoft发行了SMB协议的版本3，该版本提供了对SMB流量进行加密的选项。SMB v3于五年前可用的事实可能使您相信所有公司现在都在运行SMB v3。

但是，正如2017年WannaCry勒索软件攻击所显示的那样，情况远非如此。WannaCry利用了SMB v1漏洞，并证明了在使该蠕虫横向传播方面具有惊人的作用。但是，Windows服务器和客户端已被缓慢但肯定地更新，并且越来越多的企业逐渐采用SMB v3。

自然的问题是是否启用可选加密v3支持。当我与人们讨论这个问题时，他们的第一个直觉是打开加密，因为我们被教导将加密视为减少攻击面的一种方式。

但是，在一个我们最终了解完全基于攻击防御的策略的局限性的时代，为SMB启用加密将允许一个受感染的终结点攻击相邻系统，而无法进行检测到攻击的基于网络的监督。

部署了加密的SMB v3：

• 勒索软件加密远程文件系统变得不可见（直到有人偶然发现文件服务器上的加密文件）。

• 通过psexec或无数其他RPC UUID进行的横向移动变得不可见。

• 使用RPC UUID进行侦察变得不可见。

• 另一个系统上本地帐户的暴力破解密码猜测变得不可见。

毋庸置疑，在当今这样的时代里，高级分析通常能够检测出复杂的攻击，这是抵御重大危害的唯一机会，加密SMB就像向前迈进了一步，向后退了50步。

考虑一下您所关心的攻击媒介，您会意识到尽管加密隐藏了潜在攻击者的数据，但在某些情况下，它也可能严重限制您检测中间攻击者的能力。