根据Ponemon研究所的最新报告显示,移动证书使用很难验证SSL和TLS。为什么这么难检测到异常移动证书使用呢?是否有最佳做法可确保在移动设备上正确使用证书?
Michael Cobb:Ponemon研究所发布的《2015年信任问题成本报告》中有一些令人震惊的结果,虽然我们越来越多地依靠数字证书来提供信任和安全,但我们管理证书的能力越来越差。例如,该报告发现,在过去两年中,在Web服务器、网络设备和云服务中部署的密钥和证书数量已经增长了34%,达到每个企业24000,这个数字甚至还不包括防火墙外移动设备、移动应用或物联网设备使用的证书。然而,54%的受访企业承认他们不知道所有密钥和证书的位置,这意味着他们不知道它们如何被使用或者是否应该信任它们。
这个问题特别严重的领域是,Wi-Fi、VPN、移动设备管理(MDM)和企业移动管理(EMM)产品等应用中的企业移动证书的使用。最近Forrester研究发现,77%的IT安全专业人士没有充分了解Wi-Fi、VPN和MDM/EMM使用的移动证书情况。
这里的危害是,滥用或孤立的移动证书可允许终止合同的雇员和承包商或者冒充用户的攻击者访问Wi-Fi、VPN或受MDM/EMM系统保护的数据。Mandiant公司最新APT1报告显示,在每次攻击中,攻击者都会获取有效凭证,例如密钥和证书。随着企业中移动设备持续增加,密钥和证书滥用的风险也在增加,这需要引起企业的关注。
对于任何IT资产,企业应该详细记录密钥和证书以及它们的“主人”。这对追踪有效密钥很重要,并可帮助发现重复的、孤立和不需要的证书。
ISO 27001的A.12.3.2条款指出,“企业应该部署密钥管理来支持企业对加密技术的使用”。加密政策应该包括密钥长度、有效期和批准的证书机构,并对移动证书颁发过程中执行这些政策。通过映射用户到证书,管理员可为已知证书和正常使用建立基准以帮助检测异常使用情况。为了确保记录保持最新,在员工更换工作或离开公司时,HR应该及时通知IT,这样与该员工相关的移动和用户证书可以被撤销以防止对网络资源的未经授权访问。
大多数MDM/EMM技术不提供全面管理移动证书和密钥的生命周期,因此,企业可能需要密钥和证书声誉服务(例如Venafi公司的TrustNet)来帮助自动化密钥的管理和撤销,以及发现恶意或异常的密钥及证书使用。例如,微软推出了自己的解决方案来提高证书的可信度:Certificate Reputation,其中涉及IE 11以及SmartScreen发送数据给微软了解用户在浏览网页时遇到的证书。
企业应该检查可访问敏感数据的企业应用以确保它们正确部署了加密和证书使用。去年,IOActive发现,在40款iOS银行应用中,40%没有验证SSL证书,并且不能阻止理论的中间人攻击。
管理员还应该注意,在不同制造商、设备甚至国家,补丁和证书更新各有不同,本地运营商在分发更新中发挥着重要作用。这意味着,仍然在等待关键证书更新的设备在访问企业网络时应该被隔离。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
Rowhammer漏洞:PC遭殃后,Android设备也难逃魔掌
此前Rowhammer硬件漏洞在PC中被发现,而近日有研究人员展示了可在移动设备上实施利用的Rowhammer漏洞……
-
实用易上手的五大Android安全政策
对于正试图改善Android安全性的企业来说,他们也许会认为这是一项不可能完成的任务。在这个音频中,Phifer探讨了企业可部署及实施的五大Android安全政策,以帮助缓解最突出的Android威胁。
-
戴尔SonicWALL SMA 100系列更新操作系统,哪些升级值得用户期待?
全新戴尔SonicWALL SMA 100系列OS 8.5可让管理员快速且简便地提供安全的移动访问权限,以及基于角色的访问特权,因而使用智能手机、平板电脑或笔记本电脑(托管或非托管)的远程工作人员可以获得快速、简单且安全的访问,从而提高客户的安全性。
-
明朝万达联手IBM 力保用户移动办公安全无忧
明朝万达公司与IBM正式签署合作协议,引入IBM先进的移动管理技术,强化明朝万达的数据安全、移动安全、云安全及加密应用技术解决方案,增强企业在移动互联时代的决胜能力,保障用户移动办公安全无忧。