专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

保障移动安全 企业先要学会管控移动证书
2015-09-15 17:05:09 来源:TechTarget中国 作者:【
关键词:EMM Venafi SmartScreen
 
根据Ponemon研究所的最新报告显示,移动证书使用很难验证SSL和TLS。为什么这么难检测到异常移动证书使用呢?是否有最佳做法可确保在移动设备上正确使用证书?

  根据Ponemon研究所的最新报告显示,移动证书使用很难验证SSL和TLS。为什么这么难检测到异常移动证书使用呢?是否有最佳做法可确保在移动设备上正确使用证书?

  Ponemon研究所发布的《2015年信任问题成本报告》中有一些令人震惊的结果,虽然我们越来越多地依靠数字证书来提供信任和安全,但我们管理证书的能力越来越差。例如,该报告发现,在过去两年中,在Web服务器、网络设备和云服务中部署的密钥和证书数量已经增长了34%,达到每个企业24000,这个数字甚至还不包括防火墙外移动设备、移动应用或物联网设备使用的证书。然而,54%的受访企业承认他们不知道所有密钥和证书的位置,这意味着他们不知道它们如何被使用或者是否应该信任它们。

  这个问题特别严重的领域是,Wi-Fi、VPN、移动设备管理(MDM)和企业移动管理(EMM)产品等应用中的企业移动证书的使用。最近Forrester研究发现,77%的IT安全专业人士没有充分了解Wi-Fi、VPN和MDM/EMM使用的移动证书情况。

  这里的危害是,滥用或孤立的移动证书可允许终止合同的雇员和承包商或者冒充用户的攻击者访问Wi-Fi、VPN或受MDM/EMM系统保护的数据。Mandiant公司最新APT1报告显示,在每次攻击中,攻击者都会获取有效凭证,例如密钥和证书。随着企业中移动设备持续增加,密钥和证书滥用的风险也在增加,这需要引起企业的关注。

  对于任何IT资产,企业应该详细记录密钥和证书以及它们的“主人”。这对追踪有效密钥很重要,并可帮助发现重复的、孤立和不需要的证书。

  ISO 27001的A.12.3.2条款指出,“企业应该部署密钥管理来支持企业对加密技术的使用”。加密政策应该包括密钥长度、有效期和批准的证书机构,并对移动证书颁发过程中执行这些政策。通过映射用户到证书,管理员可为已知证书和正常使用建立基准以帮助检测异常使用情况。为了确保记录保持最新,在员工更换工作或离开公司时,HR应该及时通知IT,这样与该员工相关的移动和用户证书可以被撤销以防止对网络资源的未经授权访问。

  大多数MDM/EMM技术不提供全面管理移动证书和密钥的生命周期,因此,企业可能需要密钥和证书声誉服务(例如Venafi公司的TrustNet)来帮助自动化密钥的管理和撤销,以及发现恶意或异常的密钥及证书使用。例如,微软推出了自己的解决方案来提高证书的可信度:Certificate Reputation,其中涉及IE 11以及SmartScreen发送数据给微软了解用户在浏览网页时遇到的证书。

  企业应该检查可访问敏感数据的企业应用以确保它们正确部署了加密和证书使用。去年,IOActive发现,在40款iOS银行应用中,40%没有验证SSL证书,并且不能阻止理论的中间人攻击。

  管理员还应该注意,在不同制造商、设备甚至国家,补丁和证书更新各有不同,本地运营商在分发更新中发挥着重要作用。这意味着,仍然在等待关键证书更新的设备在访问企业网络时应该被隔离。

      

责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇互联网网络安全威胁治理行动单月..
下一篇阿尔卡特朗讯发布新版网络管理系..

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259