在荷兰颁发数字证书的欺诈性数字证书颁发机构遭到破坏之后,许多安全研究人员声称证书颁发机构系统被不可撤销地破坏了,建立在线信任的新系统是必需的。一家赛门铁克公司Symantec(赛门铁克)认为,该事件只是在说明该CA需要改进其安全流程。
赛门铁克信任服务高级主管Michael Lin告诉eWEEK,由于攻击者没有破坏加密算法,因此SSL(Secure Sockets Layer,安全套接字层)技术仍然安全。Lin说,需要更改的是有关证书颁发机构如何颁发和验证SSL证书的策略和过程。
根据电子前沿基金会的说法,超过650家公司被授权颁发SSL证书。当用户导航到网站时,浏览器将依赖于该站点的SSL证书来确认该用户位于合法站点上,而不是假副本。使用伪造的证书,恶意攻击者可以发起中间人攻击,使他们能够窃听互联网用户并拦截敏感信息。
Lin说:“ SSL作为一种技术是完全可行的,但是CA需要实施最低标准”,以保持系统的安全和正常运行。
组织需要在基础架构上进行投资,其中包括部署最新的恶意软件保护系统,进行定期的第三方审核,运行漏洞评估以确保不存在可以利用的漏洞,实施多层安全保护并持续监控林说,这样的环境可以尽快发现并阻止违规行为。
Lin表示,拥有如此多的证书颁发机构并没有什么错,但是要成为一个证书颁发机构所需要满足的标准目前太低了。赛门铁克目前正在研究白皮书,其中概述了一些最低要求,其中一些最低要求是由赛门铁克信托服务副总裁Fran Rosch 在Symantec Connect博客上概述的。
Rosch写道,其中的一些要求包括使用经过特殊设计的强化工具来抵御攻击,使用基于硬件的密码签名系统,将SSL证书系统与公司系统分开以及执行强壮的密码和访问控制策略。
林说:“没有安全的基础设施能够幸免于破坏,”但是组织应该“投资基础设施”。
eEye Digital Security的首席技术官Marc Maiffret对eWEEK表示,普遍的误解是,仅仅因为组织处于安全领域,它就“更加安全” 。Maiffret说:“实际上,它们和其他所有人一样面临同样的安全挑战。”他建议其他组织也可以从DigiNotar事件中学习。
根据Maiffret的说法,大多数组织倾向于考虑下一步购买哪种技术来应对特定威胁,而不是着眼于根本原因,例如配置错误或未解决的漏洞。他们正在寻找最好的防病毒软件或最好的入侵检测系统,但他们没有在寻找Web应用程序以确保它不受SQL注入攻击或所有已知漏洞都已被最新软件修补,他说。
拥有大量技术意味着有更多关于正在发生的事情的数据,但是对于某些组织来说,更多的数据会导致更多的噪声被忽略,而不是更多的安全性。
Maiffret说,多年来,安全性一直是“设置并忘记它”,但是威胁的数量和攻击的日益复杂性意味着组织必须关注基础知识并自定义其体系结构。
Maiffret说,一些公司可能拥有所有正确的技术,但可能由于不认识到设置错误而导致使用不当。或者他们以标准配置使用它,这意味着攻击者确切地知道设置的样子并相应地进行攻击。根据Maiffret的说法,如果组织架构网络并以与供应商建议的默认设置不同的方式部署安全性,那么它们将引发烦,并且更容易遭到破坏。
Maiffret说,确保组织安全不是技术挑战,而是业务流程。
赛门铁克的林先生还说,证书颁发机构需要监视基础架构,以便立即发现异常。林说,更重要的是,该组织即使认为问题已解决,也需要立即披露该事件,以便其他所有人保持警觉并警惕问题。
Lin说,CA不仅可以专注于其基础架构,还应该让其合作伙伴达到相同的标准。Lin说,今年早些时候对Comodo的攻击实际上是在经销商身上,因此必须遵循相同的严格标准,例如第三方审核,强大的身份验证和访问策略。林说,赛门铁克要求所有合作伙伴都达到相同的标准,否则有断绝关系的风险。