相信。它是全数字化交易的基础。我们相信,我们的库存系统提供正确的信息,这些文件我们阅读没有被改变,这对金融交易的另一侧的实体是我们的银行。
[也:如何处理数字证书造假事件]
但是,安全功能之外,信任在数字世界的机制 - 的机制,每一个企业和政府机构依靠以确保整个网络和封闭网络内进行的是通信和交易仍然值得信赖,私人和符合规例-are不容易理解。这使得他们很容易,犯罪分子越来越多地开始对这种信任的猎物。
例如,想象一下,一名罪犯利用行政部门打印机的数字证书,使其能够在打印时读取每个文档。
“当行政办公打印机遭到黑客攻击,人们只是看流,”总部位于盐湖城的企业密钥和证书管理(EKCM)提供商Venafi的首席执行官杰夫·哈德森说。
哈德逊说:“那些高管可能不想把敏感文件放在电子邮件中,因为他们觉得电子邮件太不安全,但他们也可以直接把文件发给那些想操纵股价的人。”“没人看。罪犯们会想办法进入这条河的。”
信托攻击将耗资$ 3500万的企业平均
据Ponemon的研究所,由Venafi承销一项新的研究,全球2000强企业预计将在未来24个月的平均亿$ 35失去因信任的攻击。拉里Ponemon的,Ponemon的研究所的主席兼创办人说,估计是基于3.98亿$每组织一个总的成本风险。
“在与Venafi合作,我们着手答案的信息安全和法规遵从问题最为追捧的第一次一个:什么是从利用密钥和证书管理失败的恶意攻击失败信赖的确切财务后果”Ponemon的说道。
“我们依靠密钥和证书提供信任的基石,为所有企业和政府活动,在网上和在云中。然而,犯罪分子以惊人的速度把我们害我们这些信托手段的依赖,” Ponemon的说道。
“这一新的研究,不仅使我们能够量化这些信托漏洞的成本,而且还有助于深入了解在密钥和证书管理企业的失败是如何开门罪犯,” Ponemon的补充。
“超过一半的企业调查,例如,不知道他们有多少密钥和证书都有,这既是一个严重的安全问题,治理,风险和合规性(GRC)的差距,高管必须用适当的控制处理,” Ponemon的说。
“这是不足为奇了所有公司我们采访了遭受攻击信任由于失败的密钥和证书管理,或者这些攻击将组织平均3500万美元的成本,最大可能成本3.98亿美元/组织的接触,根据波耐蒙。这种程度的风险和暴露需要补救。”
Ponemon Institute surveyed 2,342 respondents from within the Global 2000 in Australia, France, Germany, the U.K. and U.S. The respondents represented 16 unique vertical industries, the top five of which were these: financial services, public sector, consumer products, services (including audit and consulting) and education and research.
“经验问题是:如果一个组织经历了涉及其加密密钥或证书管理的崩溃,将会发生什么?”波耐蒙解释说。“我们试图推断每次暴露的最大成本。”
Ponemon的有受访者评估每个类型的攻击四种费用类别:
发病效应初探
生产力损失
收入损失
品牌及美誉度损失
“使用这种方法,我们能够做的是估计和推断不同方案的费用,” Ponemon的解释。“我们使用的场景中的每一个都是基于真实的事件。”
所有受访者遭受了至少一次
所有被调查的企业都至少遭受过一次信任攻击,原因是密钥和证书管理失败。对弱密码学的容易预防的利用被证明是最有可能也是最昂贵的,每个组织每次事件平均花费1.25亿美元。
在受信任的证书颁发机构(CA),其发行和验证数字证书的,攻击可以导致人在这方面的中间人和网络钓鱼的攻击企业,拥有成本平均为$ 73万美元的事件,每个组织。
Ponemon指出,考虑到对加密密钥和证书的攻击难以检测,而且攻击的目标是最关键的IT和业务流程,这种高成本是合理的。他指出,这些数字与其他重大入侵事件的结果一致,比如2006年对T.J. Maxx和其他商店的所有者TJX Companies的入侵。在那次事件中,黑客侵入了一个存储客户信用卡、借记卡、支票和商品退货交易信息的系统。这起事件影响了4570万名用户,并给TJX造成了至少2.56亿美元的损失。
“互联网确实依赖于信任的机制,”哈德森说。“什么什么信任?为什么它相信它呢?这是不是一个很好理解的区域。即使在CISO和CIO的水平,当我们问他们'哪里是你的SSL证书?他们真的不知道,但它是这整个事情的工作方式的基础。”
哈德逊补充道:“这也是第一次,大公司的首席执行官和其他c级主管不知道事情是如何运作的。”“过去,他们知道他们可以信任库存中的东西,因为他们可以说,‘我们有武装警卫,锁着的门和钥匙,狗等等。’但当我们进入这个互联网时代,他们就不知道了。”他们不知道这台机器怎么知道它可以信任那台机器。坏家伙已经明白了这一点。坏人总是会在你不注意的时候追你。”
组织不知道他们有多少密钥和证书
Ponemon和Hudson同意,问题的主要原因在于组织根本不知道在他们的基础设施中有多少加密密钥和证书。调查发现,61%的英国组织不知道他们部署了多少密钥和证书。
同样是在法国全球2000强企业的59%,在美国54%,澳大利亚47%,德国34%的事实。而这无法发现其中的密钥和证书的部署,它们是如何被使用的,谁在使用它们本质上意味着企业已经失去了相对于信托的控制,Ponemon的说道。
这个问题可能比上述数字所暗示的还要严重。波耐蒙发现,受访者平均估计每人拥有17,807把钥匙和证书。但哈德逊指出,企业拥有的资源总是比他们估计的要多得多。
“当我们进入一个全球2000,平均而言,当我们完成他们已经发现了更多的这些仪器的五倍,他们认为他们有,”哈德森说。
“这个问题意味着它不是一个人的问题了规模,” Ponemon的补充。“你真的需要有一个适当的合适的工具来管理它。”
受损的SSH密钥最令人担忧的威胁
也许最令人担忧的,并确定为受访者在安全战壕工作的最大威胁,是SSH密钥盗窃和妥协,其中有$ 7500万的平均潜在风险成本的可能性。
虽然在系统管理员领域之外还不为人所知,但SSH被广泛用于在计算机之间建立安全连接并提供对系统的根访问。随着组织采用云计算,SSH密钥成为更诱人的目标,因为SSH被用于维护对诸如Amazon Web Services和Microsoft Azure等云系统的控制和所有权。
SSH已经很少审计在过去,尽管谁获得由受信任的管理员或系统中使用的密钥犯罪分子可能牺牲所有连接的系统和数据,即使是加密的。
波耐蒙表示:“重新获得对信任的控制权,需要将过程、政策、人员和技术结合起来。”最佳实践,例如来自NIST关于准备和响应CA妥协以及管理关键管理生命周期的最佳实践,是有价值的。监管机构,如英国信息专员办公室(ICO)对云计算和数据隐私的指导,也为在当前和新兴的计算时代保持对信任的控制提供了宝贵的框架。”
波内蒙还建议将弗雷斯特研究公司(Forrester Research)的报告《杀死你的数据以保护它免受网络罪犯的攻击》(Kill Your Data to Protect It from cybercrime)作为保护数据和信任的入门教材。
“最终,正如这一研究表明的那样,组织对信任的控制只取决于他们管理加密密钥和数字证书的能力,”波耐蒙补充道。
这篇文章,“数字证书混乱可能给公司造成3.98亿美元的损失”最初是由首席信息官 。