保障移動(dòng)安全 企業(yè)先要學(xué)會(huì)管控移動(dòng)證書
根據(jù)Ponemon研究所的最新報(bào)告顯示,移動(dòng)證書使用很難驗(yàn)證SSL和TLS。為什么這么難檢測(cè)到異常移動(dòng)證書使用呢?是否有最佳做法可確保在移動(dòng)設(shè)備上正確使用證書?
Ponemon研究所發(fā)布的《2015年信任問(wèn)題成本報(bào)告》中有一些令人震驚的結(jié)果,雖然我們?cè)絹?lái)越多地依靠數(shù)字證書來(lái)提供信任和安全,但我們管理證書的能力越來(lái)越差。例如,該報(bào)告發(fā)現(xiàn),在過(guò)去兩年中,在Web服務(wù)器、網(wǎng)絡(luò)設(shè)備和云服務(wù)中部署的密鑰和證書數(shù)量已經(jīng)增長(zhǎng)了34%,達(dá)到每個(gè)企業(yè)24000,這個(gè)數(shù)字甚至還不包括防火墻外移動(dòng)設(shè)備、移動(dòng)應(yīng)用或物聯(lián)網(wǎng)設(shè)備使用的證書。然而,54%的受訪企業(yè)承認(rèn)他們不知道所有密鑰和證書的位置,這意味著他們不知道它們?nèi)绾伪皇褂没蛘呤欠駪?yīng)該信任它們。
這個(gè)問(wèn)題特別嚴(yán)重的領(lǐng)域是,Wi-Fi、VPN、移動(dòng)設(shè)備管理(MDM)和企業(yè)移動(dòng)管理(EMM)產(chǎn)品等應(yīng)用中的企業(yè)移動(dòng)證書的使用。最近Forrester研究發(fā)現(xiàn),77%的IT安全專業(yè)人士沒(méi)有充分了解Wi-Fi、VPN和MDM/EMM使用的移動(dòng)證書情況。
這里的危害是,濫用或孤立的移動(dòng)證書可允許終止合同的雇員和承包商或者冒充用戶的攻擊者訪問(wèn)Wi-Fi、VPN或受MDM/EMM系統(tǒng)保護(hù)的數(shù)據(jù)。Mandiant公司最新APT1報(bào)告顯示,在每次攻擊中,攻擊者都會(huì)獲取有效憑證,例如密鑰和證書。隨著企業(yè)中移動(dòng)設(shè)備持續(xù)增加,密鑰和證書濫用的風(fēng)險(xiǎn)也在增加,這需要引起企業(yè)的關(guān)注。
對(duì)于任何IT資產(chǎn),企業(yè)應(yīng)該詳細(xì)記錄密鑰和證書以及它們的“主人”。這對(duì)追蹤有效密鑰很重要,并可幫助發(fā)現(xiàn)重復(fù)的、孤立和不需要的證書。
ISO 27001的A.12.3.2條款指出,“企業(yè)應(yīng)該部署密鑰管理來(lái)支持企業(yè)對(duì)加密技術(shù)的使用”。加密政策應(yīng)該包括密鑰長(zhǎng)度、有效期和批準(zhǔn)的證書機(jī)構(gòu),并對(duì)移動(dòng)證書頒發(fā)過(guò)程中執(zhí)行這些政策。通過(guò)映射用戶到證書,管理員可為已知證書和正常使用建立基準(zhǔn)以幫助檢測(cè)異常使用情況。為了確保記錄保持最新,在員工更換工作或離開(kāi)公司時(shí),HR應(yīng)該及時(shí)通知IT,這樣與該員工相關(guān)的移動(dòng)和用戶證書可以被撤銷以防止對(duì)網(wǎng)絡(luò)資源的未經(jīng)授權(quán)訪問(wèn)。
大多數(shù)MDM/EMM技術(shù)不提供全面管理移動(dòng)證書和密鑰的生命周期,因此,企業(yè)可能需要密鑰和證書聲譽(yù)服務(wù)(例如Venafi公司的TrustNet)來(lái)幫助自動(dòng)化密鑰的管理和撤銷,以及發(fā)現(xiàn)惡意或異常的密鑰及證書使用。例如,微軟推出了自己的解決方案來(lái)提高證書的可信度:Certificate Reputation,其中涉及IE 11以及SmartScreen發(fā)送數(shù)據(jù)給微軟了解用戶在瀏覽網(wǎng)頁(yè)時(shí)遇到的證書。
企業(yè)應(yīng)該檢查可訪問(wèn)敏感數(shù)據(jù)的企業(yè)應(yīng)用以確保它們正確部署了加密和證書使用。去年,IOActive發(fā)現(xiàn),在40款iOS銀行應(yīng)用中,40%沒(méi)有驗(yàn)證SSL證書,并且不能阻止理論的中間人攻擊。
管理員還應(yīng)該注意,在不同制造商、設(shè)備甚至國(guó)家,補(bǔ)丁和證書更新各有不同,本地運(yùn)營(yíng)商在分發(fā)更新中發(fā)揮著重要作用。這意味著,仍然在等待關(guān)鍵證書更新的設(shè)備在訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí)應(yīng)該被隔離。
