當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

保障移動(dòng)安全企業(yè)先要學(xué)會(huì)管控移動(dòng)證書

責(zé)任編輯：editor005 作者：Michael Cobb |來(lái)源：企業(yè)網(wǎng)D1Net 2015-09-15 14:06:25 本文摘自：TechTarget中國(guó)

根據(jù)Ponemon研究所的最新報(bào)告顯示，移動(dòng)證書使用很難驗(yàn)證SSL和TLS。為什么這么難檢測(cè)到異常移動(dòng)證書使用呢?是否有最佳做法可確保在移動(dòng)設(shè)備上正確使用證書?

Ponemon研究所發(fā)布的《2015年信任問(wèn)題成本報(bào)告》中有一些令人震驚的結(jié)果，雖然我們?cè)絹?lái)越多地依靠數(shù)字證書來(lái)提供信任和安全，但我們管理證書的能力越來(lái)越差。例如，該報(bào)告發(fā)現(xiàn)，在過(guò)去兩年中，在Web服務(wù)器、網(wǎng)絡(luò)設(shè)備和云服務(wù)中部署的密鑰和證書數(shù)量已經(jīng)增長(zhǎng)了34%，達(dá)到每個(gè)企業(yè)24000，這個(gè)數(shù)字甚至還不包括防火墻外移動(dòng)設(shè)備、移動(dòng)應(yīng)用或物聯(lián)網(wǎng)設(shè)備使用的證書。然而，54%的受訪企業(yè)承認(rèn)他們不知道所有密鑰和證書的位置，這意味著他們不知道它們?nèi)绾伪皇褂没蛘呤欠駪?yīng)該信任它們。

這個(gè)問(wèn)題特別嚴(yán)重的領(lǐng)域是，Wi-Fi、VPN、移動(dòng)設(shè)備管理(MDM)和企業(yè)移動(dòng)管理(EMM)產(chǎn)品等應(yīng)用中的企業(yè)移動(dòng)證書的使用。最近Forrester研究發(fā)現(xiàn)，77%的IT安全專業(yè)人士沒(méi)有充分了解Wi-Fi、VPN和MDM/EMM使用的移動(dòng)證書情況。

這里的危害是，濫用或孤立的移動(dòng)證書可允許終止合同的雇員和承包商或者冒充用戶的攻擊者訪問(wèn)Wi-Fi、VPN或受MDM/EMM系統(tǒng)保護(hù)的數(shù)據(jù)。Mandiant公司最新APT1報(bào)告顯示，在每次攻擊中，攻擊者都會(huì)獲取有效憑證，例如密鑰和證書。隨著企業(yè)中移動(dòng)設(shè)備持續(xù)增加，密鑰和證書濫用的風(fēng)險(xiǎn)也在增加，這需要引起企業(yè)的關(guān)注。

對(duì)于任何IT資產(chǎn)，企業(yè)應(yīng)該詳細(xì)記錄密鑰和證書以及它們的“主人”。這對(duì)追蹤有效密鑰很重要，并可幫助發(fā)現(xiàn)重復(fù)的、孤立和不需要的證書。

ISO 27001的A.12.3.2條款指出，“企業(yè)應(yīng)該部署密鑰管理來(lái)支持企業(yè)對(duì)加密技術(shù)的使用”。加密政策應(yīng)該包括密鑰長(zhǎng)度、有效期和批準(zhǔn)的證書機(jī)構(gòu)，并對(duì)移動(dòng)證書頒發(fā)過(guò)程中執(zhí)行這些政策。通過(guò)映射用戶到證書，管理員可為已知證書和正常使用建立基準(zhǔn)以幫助檢測(cè)異常使用情況。為了確保記錄保持最新，在員工更換工作或離開公司時(shí)，HR應(yīng)該及時(shí)通知IT，這樣與該員工相關(guān)的移動(dòng)和用戶證書可以被撤銷以防止對(duì)網(wǎng)絡(luò)資源的未經(jīng)授權(quán)訪問(wèn)。

大多數(shù)MDM/EMM技術(shù)不提供全面管理移動(dòng)證書和密鑰的生命周期，因此，企業(yè)可能需要密鑰和證書聲譽(yù)服務(wù)(例如Venafi公司的TrustNet)來(lái)幫助自動(dòng)化密鑰的管理和撤銷，以及發(fā)現(xiàn)惡意或異常的密鑰及證書使用。例如，微軟推出了自己的解決方案來(lái)提高證書的可信度：Certificate Reputation，其中涉及IE 11以及SmartScreen發(fā)送數(shù)據(jù)給微軟了解用戶在瀏覽網(wǎng)頁(yè)時(shí)遇到的證書。

企業(yè)應(yīng)該檢查可訪問(wèn)敏感數(shù)據(jù)的企業(yè)應(yīng)用以確保它們正確部署了加密和證書使用。去年，IOActive發(fā)現(xiàn)，在40款iOS銀行應(yīng)用中，40%沒(méi)有驗(yàn)證SSL證書，并且不能阻止理論的中間人攻擊。

管理員還應(yīng)該注意，在不同制造商、設(shè)備甚至國(guó)家，補(bǔ)丁和證書更新各有不同，本地運(yùn)營(yíng)商在分發(fā)更新中發(fā)揮著重要作用。這意味著，仍然在等待關(guān)鍵證書更新的設(shè)備在訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí)應(yīng)該被隔離。

關(guān)鍵字：EMM Venafi SmartScreen