根据Ponemon研究所的最新报告显示,移动证书使用很难验证SSL和TLS。为什么这么难检测到异常移动证书使用呢?是否有最佳做法可确保在移动设备上正确使用证书?
Ponemon研究所发布的《2015年信任问题成本报告》中有一些令人震惊的结果,虽然我们越来越多地依靠数字证书来提供信任和安全,但我们管理证书的能力越来越差。例如,该报告发现,在过去两年中,在Web服务器、网络设备和云服务中部署的密钥和证书数量已经增长了34%,达到每个企业24000,这个数字甚至还不包括防火墙外移动设备、移动应用或物联网设备使用的证书。然而,54%的受访企业承认他们不知道所有密钥和证书的位置,这意味着他们不知道它们如何被使用或者是否应该信任它们。
这个问题特别严重的领域是,Wi-Fi、VPN、移动设备管理(MDM)和企业移动管理(EMM)产品等应用中的企业移动证书的使用。最近Forrester研究发现,77%的IT安全专业人士没有充分了解Wi-Fi、VPN和MDM/EMM使用的移动证书情况。
这里的危害是,滥用或孤立的移动证书可允许终止合同的雇员和承包商或者冒充用户的攻击者访问Wi-Fi、VPN或受MDM/EMM系统保护的数据。Mandiant公司最新APT1报告显示,在每次攻击中,攻击者都会获取有效凭证,例如密钥和证书。随着企业中移动设备持续增加,密钥和证书滥用的风险也在增加,这需要引起企业的关注。
对于任何IT资产,企业应该详细记录密钥和证书以及它们的“主人”。这对追踪有效密钥很重要,并可帮助发现重复的、孤立和不需要的证书。
ISO 27001的A.12.3.2条款指出,“企业应该部署密钥管理来支持企业对加密技术的使用”。加密政策应该包括密钥长度、有效期和批准的证书机构,并对移动证书颁发过程中执行这些政策。通过映射用户到证书,管理员可为已知证书和正常使用建立基准以帮助检测异常使用情况。为了确保记录保持最新,在员工更换工作或离开公司时,HR应该及时通知IT,这样与该员工相关的移动和用户证书可以被撤销以防止对网络资源的未经授权访问。
大多数MDM/EMM技术不提供全面管理移动证书和密钥的生命周期,因此,企业可能需要密钥和证书声誉服务(例如Venafi公司的TrustNet)来帮助自动化密钥的管理和撤销,以及发现恶意或异常的密钥及证书使用。例如,微软推出了自己的解决方案来提高证书的可信度:Certificate Reputation,其中涉及IE 11以及SmartScreen发送数据给微软了解用户在浏览网页时遇到的证书。
企业应该检查可访问敏感数据的企业应用以确保它们正确部署了加密和证书使用。去年,IOActive发现,在40款iOS银行应用中,40%没有验证SSL证书,并且不能阻止理论的中间人攻击。
管理员还应该注意,在不同制造商、设备甚至国家,补丁和证书更新各有不同,本地运营商在分发更新中发挥着重要作用。这意味着,仍然在等待关键证书更新的设备在访问企业网络时应该被隔离。
作者:Michael Cobb
来源:51CTO